До недавнего времени законодательство по защите информации не претерпевало никаких серьезных изменений. Существовала и до сих пор существует жесткая регламентация деятельности в области защиты сведений, составляющих государственную тайну. Область же конфиденциальной информации регламентировалась слабо, если не сказать, что никак не регламентировалась. Однако 2002 год стал годом серьезных изменений. Я имею в виду уже введенный в действие Федеральный Закон РФ "О лицензировании отдельных видов деятельности" и вводимый в действие Кодекс об административных правонарушениях.
Первый закон был принят Государственной Думой 13 июля 2001 года и подписан Президентом РФ 8 августа. Он вступил в действие через 6 месяцев с момента подписания, т.е. в начале февраля текущего года. В данном законе, в статье 17 перечислены виды деятельности, на осуществление которых требуется соответствующая лицензия. В т.ч. к таким видам деятельности отнесены:
- деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
- деятельность по технической защите конфиденциальной информации,
а также ряд видов деятельности, связанных с криптографической защитой информации и недавно принятым Законом "Об электронной цифровой подписи". Область шифровальных средств и услуг, как и область государственной тайны, я оставлю за рамками данной статьи, сконцентрировав свое внимание на защите конфиденциальной информации.
Что же такое конфиденциальная информация? Согласно утвержденному 6 марта 1997 года Указу Президента РФ №188, к сведениям конфиденциального характера можно отнести:
- персональные данные гражданина;
- тайна следствия и судопроизводства;
- служебная тайна;
- врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.;
- коммерческая тайна;
- сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Можно заметить, что к конфиденциальной относится до 70-80% всей информации, циркулирующей в информационных системах различных государственных и, что немаловажно, коммерческих предприятий, а также в информационных системах физических лиц.
Теперь перейдем к самому закону о лицензировании. Первый из указанных выше видов деятельности не вызывает ни нареканий ни вопросов. Исторически сложилось так, что российские разработчики средств защиты информации (СЗИ) получали лицензию Государственной Технической Комиссии при Президенте РФ на право осуществления деятельности в области защиты информации, в т.ч. и на разработку СЗИ. А вот второй указанный пункт более интересен. Он настолько обтекаем, что из него непонятно, к кому он относится? Например, его без существенных проблем ("закон, что дышло - куда повернул, туда и вышло") можно применить и к фирмам-владельцам информационных систем, обрабатывающих конфиденциальную информацию. Представьте, что у нас есть Internet-магазин, который продает различные книги, компакт-диски и иную продукцию. Продажа товара невозможна без регистрации покупателя, который предоставляет о себе какие-то личные сведения, сохраняемые в базе данных Internet-магазина. А эти сведения "о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность" являются персональными данными. Аналогичная ситуация и с банками и с любыми другими компаниями, накапливающими сведения о своих клиентах. Далее события могут развиваться двумя путями:
- Защита конфиденциальной информации обязывается законом (например, Законом об информации, информатизации и защите информации). По этому пути идут многие государственные структуры или организации, имеющие доступ к сведениям, составляющим собственность государства.
- Защита конфиденциальной информации обеспечивается самим собственником или владельцем информационной системы с целью повышения своей конкурентоспособности, заботы о клиентах и т.д. В данном случае, защита является не обязательной, но ее необеспечение влечет за собой нанесение ущерба клиентам и т.д.
В обоих случаях какие-никакие, а защитные меры все же принимаются. А это, как явственно следует из новой редакции Федерального Закона "О лицензировании отдельных видов деятельности", уже требует наличия соответствующей лицензии. Таким образом, в итоге мы получаем необходимость лицензирования практически любой фирмы, работающей на территории России.
Что дальше? На первый взгляд, можно поступить, как многие компании поступили в свое время с нашумевшим Указом Президента №334 от 3 апреля 1995 года "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации". Данный указ запрещал использование несертифицированных в ФАПСИ средств криптографической защиты информации (включая средства электронной цифровой подписи). В пункте 6 этого документа ФСБ, МВД и ФАПСИ предлагалось выявлять нарушителей данного Указа. "А дальше что?" - спросите вы. Правильно, ничего. Никаких подзаконных актов, регламентирующих процедуру наказания нарушителей, разработано не было, чем многие компании и воспользовались. Аналогичным образом можно было бы поступить и сейчас, если бы не одно "но".
С 1 июля этого года вступает в силу новая редакция Кодекса РФ "Об административных правонарушениях" (принят ГД 20 декабря 2001 года, подписан Президентом 30 декабря 2001 г.), в котором предусмотрено наказание за незаконную деятельность в области защиты информации (ст.13.13). В данной статье записано, что "занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), - влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой; на должностных лиц - от двадцати до тридцати минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой; на юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой."
Мало того, даже если вы получили соответствующую лицензию, то наказание все равно может настичь вас, если вы применяете несертифицированные средства защиты информации. Об этом говорит статья 13.12 (п.2) - "использование несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от десяти до двадцати минимальных размеров оплаты труда; на юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой."
К чему приведет ввод в действие названных законодательных актов? Начнем с того, что теперь у соответствующих органов появляется возможность давления на практически любую компанию, которая до недавнего времени и не знала, что ей требуется получение лицензии. Во-вторых, можно предположить, что появится огромное число компаний-консультантов, паразитирующих тем, что они будут оказывать помощь в получении необходимой лицензии. В-третьих, сертификационные лаборатории ждет наплыв производителей или поставщиков, желающих получить вожделенный сертификат на свою продукцию. А, как известно, там, где деньги, там есть повод для злоупотреблений. Поэтому в качестве завершающего аккорда можно предположить, что появится большое число продуктов, имеющих необходимый сертификат, но за которым реально ничего не стоит. Тем более что отечественная система сертификации не лишена недостатков. На эту тему, кстати, до сих пор ведется очень жаркая дискуссия "Еще раз о сертификации средств защиты" в форуме сервера /redir.php?url=www.sec.ru%2C в которой участвуют и потребители средств защиты, и производители и, что немаловажно, представители сертификационных лабораторий. Число сертификационных лабораторий не так велико, а сроки выдачи сертификата составляют несколько месяцев. Это, разумеется, приведет к тому, что спрос существенно превысит предложение и соответствующие структуры либо не справятся с потоком заявок на получение сертификата, либо будут вынуждены проводить испытания "абы как", либо, что хуже всего, выдавать сертификат за "энную" сумму денег. Тем более, что многие производители и поставщики заинтересованы не в проведении испытаний в полном объеме, а в получении необходимой разрешительной бумаги.
В заключение хочу сказать, что, несмотря на то, что хотелось как лучше, скорее всего, получится как всегда. Желание регулировать такую важную для страны область, как обеспечение информационной безопасности, обернется очередной неудачей и профанацией хорошей идеи. Читатель может спросить меня - "что же делать?" Вариантов возможных действий несколько. Можно ничего не делать и, в надежде на нерасторопность отечественных регулирующих органов, просто плыть по течению, надеясь на лучшее. А можно подсуетиться и, чтобы обезопасить себя от возможных проблем в будущем, получить соответствующую лицензию и постараться заменить несертифицированные средства защиты на аналогичные по функционалу, но имеющие сертификат. Тем более что таких решений на российском рынке достаточно - как российского, так и зарубежного производства.