7.3. Правовые основы разработки и использования средств криптографической защиты информации

С одной стороны, бесконтрольное шифрование информации, передаваемой по каналам передачи данных, особенно в компьютерных сетях, и хранящейся в различных базах данных, может значительно осложнить возможности государства по пресечению противоправных действий в различных областях жизнедеятельности.

С другой стороны, правительственное регулирование применения криптографических методов защиты информации наносит существенный ущерб правам человека на обеспечение конфиденциальности сведений, составляющих личную, семейную тайну или являющихся персональными данными. Эти права защищаются статьей 12 «Всеобщей декларации прав человека». Как показывает практика, таких нарушений со стороны государства в мире становится все больше. Госдепартамент США в своем докладе о практике соблюдения прав человека, представленном в 1996 г., сообщал о получивших широкое распространение незаконных и неконтролируемых подключениях к линиям связи для их прослушивания в более чем 90 странах.

По данным французской национальной комиссии по контролю за незаконными подключениями, для перехвата информации во Франции ежегодно производится до 100 000 таких подключений. Недавно принятый в Великобритании закон разрешает наблюдение за адвокатами и священниками. В Германии продлено действие закона, разрешающего прослушивание в журналистских офисах. Европейский парламент опубликовал в январе 1998 г. доклад, в котором сообщается, что Агентство национальной безопасности США осуществляет массовый контроль европейских систем связи.

Информационным центром защиты конфиденциальности информации в электронных системах (EPIC -- Electronic Privacy Information Center) США был составлен обзор, дающий представление о национальной политике и законодательстве в области криптографии большинства стран и территорий земного шара.

зеленая группа - страны, практически не ограничивающие свободного применения криптографии; •

желтая - страны, намеревающиеся ввести определенный контроль криптографии, включая ее применение внутри страны и экспорт программных средств двойного назначения; •

красная - страны, осуществляющие контроль криптографии и ее применение внутри страны.

Анализ представленных сведений показывает, что в настоящее время в большинстве стран мира отсутствует контроль за применением криптографии, аппаратные и программные криптографические средства защиты информации могут производиться, использоваться и продаваться без каких-либо ограничений (зеленая группа). К красной группе с жестким контролем применения криптографических средств относятся Беларусь, КНР, Израиль, Пакистан, Россия и Сингапур. Еще малочисленнее группа стран, в которых рассматриваются возможности введения новых мер контроля. Это Индия, Южная Корея и США. Более того, в настоящее время США проводит активную политику введения международного контроля применяемых в различных странах криптографических ключей и выдачи их таким странам, как Бразилия, Сингапур, Южная Африка и др.

Следуя в русле основных тенденций международного сообщества в отношении ослабления контроля за применением криптографических методов защиты информации, в 1997 г. Организация экономического сотрудничества и развития приняла «Основные принципы политики в области криптографии». Эти принципы направлены на поиск компромисса между интересами государства и личности в рассматриваемом вопросе. В соответствии с этим документом правительствам рекомендовано содействовать применению криптографии для защиты данных и в коммерческих операциях, соблюдая основные права человека на личную тайну и учитывая при этом интересы национальной безопасности и правоохранительных органов.

Контроль за разработкой, производством и применением шифровальных (криптографических) средств в России. Законодательством Российской Федерации ответственность за разработку, производство и применение шифровальных средств была возложена на Федеральное агентство правительственной связи и информации при Президенте РФ, преобразованное в 2003 г. в Службу специальной связи и информации при Федеральной службе охраны РФ. В соответствии с «Положением о Федеральной службе безопасности Российской Федерации», утвержденным Указом Президента РФ № 960 от 11 августа 2003 г., значительная часть функций по обеспечению защиты информации, обрабатываемой и передаваемой с помощью криптографических и технических средств, передана Центру безопасности связи ФСБ, Основными из этих функций являются:

- координация на безвозмездной основе, в интересах обеспечения госу-

V/ V/

дарственной тайны и инои тайны, охраняемой законом, деятельности орга

О W

низации, предприятии, учреждении независимо от их ведомственной принадлежности и форм собственности в области разработки, производства и поставки шифровальных средств и оборудования специальной связи;

-координация деятельности центральных органов федеральной исполнительной власти, организаций, предприятий, банков и иных учреждений по обеспечению криптографической и инженерно-технической безопасности шифрованной связи в России и ее учреждениях за рубежом. При этом федеральные органы безопасности имеют право: -определять порядок разработки, производства, реализации, эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации в Российской Федерации; осуществлять в пределах своей компетенции лицензирование и сертификацию этих видов деятельности, товаров и услуг;

-определять порядок и обеспечивать выдачу лицензий на экспорт и импорт шифровальных средств и нормативно-технической документации на их производство и использование; участвовать в определении порядка и обеспечении выдачи лицензий на экспорт и импорт защищенных технических средств передачи, обработки и хранения секретной информации;

- осуществлять государственный контроль за состоянием криптографической и инженерно-технической безопасности шифрованной связи в органах государственной власти субъектов РФ, в центральных органах федеральной исполнительной власти, в организациях, на предприятиях, в банках и иных учреждениях независимо от их ведомственной принадлежнос- ти, а также секретно-шифровальной работы в учреждениях, находящихся за рубежом Российской Федерации (кроме секретного делопроизводства в загранагіпаратах Службы внешней разведки).

Таким образом, все вопросы, связанные с разработкой, производством, закупкой и применением шифровальных средств, независимо от области их использования, должны координироваться с ФСБ.

V/ и

тва предназначены для защиты государственной тайны, указанные вопросы находятся в полном ведении ФСБ. Так, в соответствии с Указом Президента РФ № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 3 апреля 1995 г. государственным организациям и предприятиям запрещается использовать в информационно-телекоммуникационных системах шифровальные средства, включая криптографические средства обеспечения подлинности информации (электронная подпись), не имеющие соответствующего сертификата.

В отношении информации ограниченного доступа, не содержащей сведений, составляющих ГТ (конфиденциальной информации), эти вопросы регулируются специальным «Положением о разработке? производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (ПКЗ-2005), утвержденным Приказом ФСБ № 66 от 9 февраля 2005 г. При этом под средствами криптографической защиты информации (СКЗИ) понимаются: 1)

средства шифрования -- аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении; 2)

средства имитозащиты - аппаратные, программные и аппаратно- программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации; 3)

средства электронной цифровой подписи - аппаратные, программные и аппаратно-программные средства, реализующие на основе криптографических преобразований хотя бы одну из следующих функций: создание ЭЦП с помощью закрытого ключа ЭЦП, подтверждение подлинности ЭЦП с помощью открытого ключа ЭЦП электронной цифровой подписи, создание закрытых и открытых ключей ЭЦП; 4)

средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части, преоб-

разования путем ручных операции или с использованием автоматизированных средств на основе таких операций; 5)

средства изготовления ключевых документов (независимо от вида носителя ключевой информации); 6)

ключевые документы (независимо от вида носителя ключевой информации).

А. Положением необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях: -

если информация конфиденциального характера подлежит защите в соответствии с законодательством РФ;

-при организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации; -

при организации криптографической защиты информации конфиденциального характера в организациях, независимо от их организационно-правовой формы и формы собственности, при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд;

-если обязательность защиты информации конфиденциального характера возлагается законодательством РФ на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации; -

при обрабатывании информации конфиденциального характера, обладателями которой являются государственные органы или организации, выполняющие государственные заказы, в случае принятия ими мер по охране ее конфиденциальности с помощью средств криптографической защиты;

-при обрабатывании информации конфиденциального характера в государственных органах и в организациях, выполняющих государственные заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптографической защиты данной информации.

Б.

средств криптографической защиты информации, доступ к которой ограничивается по решению обладателя, пользователя (потребителя) данной информации, собственника (владельца) информационных ресурсов (информационных систем) или уполномоченных ими лиц, не являющихся государственными органами или организациями, выполняющими государственные заказы; -

средств криптографической защиты информации открытых и общедоступных государственных информационных ресурсов РФ;

-средств ЭЦП, предназначаемых для использования в электронном документообороте, информация которого не относится к информации конфиденциального характера; - информационно-телекоммуникационных систем, реализующих функции криптографической защиты информации, не относящейся к информации конфиденциального характера.

В. Настоящее Положение не регулирует отношения, связанные с экспортом и импортом СКЗИ, и не распространяется на использование шифровальных (криптографических) средств иностранного производства.

Режим защиты информации с помощью СКЗИ устанавливается обладателем информации конфиденциального характера, собственником (владельцем) информационных ресурсов (информационных систем) или уполномоченными ими лицами на основании законодательства Российской Федерации.

Применение СКЗИ при организации обмена информацией. При

организации обмена информацией конфиденциального характера, участниками которого являются государственные органы и организации, выполняющие государственные заказы, необходимость криптографической защиты информации и выбор применяемых СКЗИ определяются государственными органами или организациями, выполняющими государственные заказы.

При организации обмена информацией, доступ к которой ограничивается по решению обладателя, пользователя (потребителя) данной информации, собственника (владельца) информационных ресурсов (информационных систем), не являющихся организациями, выполняющими государственные заказы, или уполномоченными ими лицами (за исключением информации, содержащей сведения, к которым в соответствии с законодательством РФ не может быть ограничен доступ), необходимость ее криптографической защиты и выбор применяемых СКЗИ определяются соглашениями между участниками обмена.

Необходимость криптографической защиты информации конфиденциального характера при ее обработке и хранении без передачи по каналам связи, а также выбор применяемых СКЗИ определяются обладателем или пользователем (потребителем) данной информации.

Требования к средствам криптографической защиты информации.

СКЗИ должны удовлетворять требованиям технических регламентов, оценка выполнения которых осуществляется в порядке, определяемом Федеральным законом № 184-ФЗ «О техническом регулировании» от 27 декабря 2002 г.

Качество криптографической защиты информации конфиденциального характера, осуществляемой СКЗИ, обеспечивается реализацией требований по безопасности информации, предъявляемых к СКЗИ, ключевой системе СКЗИ, а также к сетям связи (системам), используемым СКЗИ с целью защиты информации при ее передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении, а также к условиям размещения СКЗИ при их использовании. Для криптографической защиты информации конфиденциального характера должны использоваться СКЗИ, удовлетворяющие требованиям по безопасности информации, устанавливаемым в соответствии с законодательством РФ.

Основным механизмом регулирования применения СКЗИ в государстве является лицензирование деятельности по их разработке, использованию и распространению и сертификации продукции.

В соответствии с Федеральным законом № 128-ФЗ «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. обязательному лицензированию подлежат следующие виды деятельности: 1)

распространение шифровальных (криптографических) средств; 2)

техническое обслуживание шифровальных (криптографических) средств; 3)

предоставление услуг в области шифрования информации; 4)

разработка и производство шифровальных (криптографических) средств, а также информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств; 5)

выдача сертификатов ключей ЭЦП, регистрация владельцев ЭЦП, оказание услуг, связанных с использованием ЭЦП, подтверждение подлинности электронных цифровых подписей.

Механизм лицензирования первых четырех из перечисленных видов деятельности определен Постановлением Правительства РФ № 691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» от 23 сентября 2002 г.

Контрольные вопросы 1.

Как классифицируются компьютерные преступления? 2.

Раскройте модель нарушителя, изложенную в руководящих документах Гостехкомиссии России. 3.

Дайте характеристику типам компьютерных правонарушителей. 4.

В чем заключается проблема установления доказательственной силы электронного документа? 5.

Раскройте основное содержание Закона РФ «Об электронной цифровой подписи». 6.

Назовите условия, при которых электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе. 7.

Раскройте механизм правового обеспечения разработки и использования средств криптографической защиты информации