Проведенный анализ предметных областей деятельности в сфере информатизации позволяет выделить в качестве основных направлений работ по лицензированию деятельности в сфере информатизации защиту информации и международный информационный обмен, к рассмотрению которых мы и переходим.
Закон "Об информации, информатизации и защите информации" устанавливает общие правовые требования к организации защиты информации с ограниченным доступом в процессе ее обработки, хранения и циркуляции в технических устройствах и информационных и телекоммуникационных системах и комплексах и организации контроля за осуществлением мероприятий по защите конфиденциальной информации. Следует подчеркнуть, что Закон не разделяет государственную и частную информацию как объект защиты в том случае, если доступ к ней ограничивается.
Кроме того, Закон определяет на государственно-правовом уровне электронную цифровую подпись как средство защиты информации от несанкционированного искажения или подмены, а также как средство подтверждения подлинности отправителя и получателя информации. В соответствии со статьей 5 "юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью". При этом "юридическая сила электронной цифровой подписи признается при наличии в автоматизированной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования".
Статья 19 Закона "Об информации, информатизации и защите информации" определяет обязательность получения лицензий для организаций, осуществляющих проектирование и производство средств защиты информации.
Важно отметить, что в соответствии с п. 3 статьи 21 контроль за соблюдением требований к защите информации, за эксплуатацией специальных средств защиты информации, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом, в негосударственных структурах возлагается на органы государственной власти.
Таким образом, система государственного лицензирования деятельности в области защиты информации в Российской Федерации является составной частью государственной системы защиты информации.
Действующими нормативно-правовыми документами в качестве основных государственных органов по лицензированию деятельности в области защиты информации определены Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России) и Федеральное агентство правительственной связи и информации (ФАПСИ).
Обязательное государственное лицензирование деятельности в области защиты информации криптографическими методами, а также в области выявления электронных устройств перехвата информации в технических средствах и помещениях государственных структур введено Постановлением Правительства РФ от 24 декабря 1994 года № 1418 "О лицензировании отдельных видов деятельности". Данное постановление распространяет механизм обязательного лицензирования на все виды деятельности в области криптографической защиты информации, независимо от ее характера и степени секретности, на все субъекты этой деятельности, независимо от их организационно-правовой формы, включая и физических лиц.
Указ Президента Российской Федерации от 3 апреля 1995 года № 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" запрещает любую деятельность, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, предоставлением услуг в области шифрования информации, без лицензии ФАПСИ.
Постановлением Правительства РФ от 15 апреля 1995 года № 333 "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" устанавливается, что лицензия на право деятельности по проведению работ, связанных с использованием сведений, составляющих государственную тайну, с созданием средств защиты информации и оказанием услуг по защите государственной тайны, может быть выдана предприятию или организации, независимо от формы его собственности, исключительно на основании результатов специальной экспертизы заявителя, в ходе которой будет установлено наличие на данном предприятии всех необходимых условий для сохранения доверенных ему секретных сведений, и государственной аттестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну.
Сферы компетенции Гостехкомиссии России и ФАПСИ, а также практический механизм лицензирования определены в "Положении о государственном лицензировании деятельности в области защиты информации", которое утверждено 27 апреля 1994 года совместным решением Гостехкомиссии России и ФАПСИ.
Этим положением, в частности, определены следующие перечни видов деятельности в области защиты информации, подлежащих лицензированию Гостехкомиссией России и ФАПСИ.
Перечень видов деятельности в области защиты информации, подлежащих лицензированию Гостехкомиссией России:
• Сертификация, сертификационные испытания защищенных технических средств обработки информации (ТСОИ), технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств по требованиям безопасности, программных средств защиты информации, программных средств контроля защищенности информации.
• Аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, технических средств приема, передачи и обработки подлежащей защите информации, технических средств и систем, не обрабатывающих эту информацию, но размещенных в помещениях, где она обрабатывается (циркулирует), а также помещений, предназначенных для ведения переговоров, содержащих охраняемые сведения, на соответствие требованиям руководящих и нормативных документов по безопасности информации и контроль защищенности информации в этих системах, технических средствах и помещениях.
• Разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных ТСОИ, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств защиты информации, программных средств контроля защищенности информации.
• Проведение специсследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ.
• Проектирование объектов в защищенном исполнении.
• Подготовка и переподготовка кадров в области защиты информации по видам деятельности, перечисленным в данном перечне.
Перечень видов деятельности в области защиты информации, подлежащих лицензированию ФАПСИ:
Деятельность названных выше организаций по лицензированию в области защиты информации осуществляется на основании следующих принципов:
• Соответствия действующим российским законодательным и нормативным актам.
• Обеспечения надежной защиты информации, составляющей государственную тайну, или иной конфиденциальной информации.
• Дифференцированного подхода к отдельным видам деятельности и средствам защиты.
• Наложения на лицензиата обязательств по выполнению требований Российского законодательства и иных нормативных актов в области защиты информации.
• Соответствия заявителей и лицензиатов требованиям по профессиональной подготовке, нормативно-методической, технической и технологической оснащенности, режимным требованиям, проверяемым в ходе проведения обязательной экспертизы заявителей и постоянного контроля за деятельностью лицензиатов.
• Четкой регламентации предоставляемых лицензиату прав и полномочий, а также механизма его взаимодействия с Гостехкомиссией и ФАПСИ.
• Централизации выдачи, учета, приостановления и отзыва лицензий и сертификатов.
• Доступности и открытости систем лицензирования и сертификации в рамках вышеперечисленных принципов.
Собственно лицензирование деятельности в области защиты информации включает следующие действия:
• выдачу лицензий - рассмотрение заявления на лицензирование, оформление и выдачу лицензий, переоформление лицензий;
• проведение специальной экспертизы заявителя;
•проведение аттестации руководителя предприятия или лиц, уполномоченных им для руководства лицензируемой деятельностью;