Файл: Российское законодательство по информационной безопасности и безопасности сетей.pdf

ВУЗ: Не указан

Категория: Реферат

Дисциплина: Не указана

Добавлен: 05.07.2023

Просмотров: 101

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

5. Владелец документов, массива документов, информационных сис­тем обязан оповещать собственника информационных ресурсов и (или) информационных систем о всех фактах нарушения режима за­щиты информации.

Далее, статья 23 «Зашита прав субъектов в сфере информационных процессов и информатизации» содержит следующий пункт: 2. Защита прав субъектов в указанной сфере осуществляется судом, ар­битражным судом, третейским судом с учетом специфики правона­рушений и нанесенного ущерба.

Очень важными являются пункты статьи 5, касающиеся юридичес­кой силы электронного документа и электронной цифровой подписи:

3. Юридическая сила документа, хранимого, обрабатываемого и пере­даваемого с помощью автоматизированных информационных и те­лекоммуникационных систем, может подтверждаться электронной цифровой подписью.

Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе про­граммно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.

4. Право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии. Порядок выдачи лицензий определяется законодательством Российской Федерации.

Таким образом, Закон предлагает действенное средство контроля целостности и решения проблемы «неотказуемости» (невозможности от­казаться от собственной подписи).

Таковы важнейшие положения Закона «Об информа­ции, информатизации и защите информации.

Другие законы и нормативные акты

Следуя логике Закона «Об информации, информатизации и защите информации», мы продолжим наш обзор Законом «О лицензировании отдельных видов деятельности» от 8 августа 2001 года номер 128-ФЗ (Принят Государственной Думой 13 июля 2001 года). Начнем с основных определений.

Лицензия — специальное разрешение на осуществление конкретно­го вида деятельности при обязательном соблюдении лицензионных тре­бований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.

Лицензируемый вид деятельности — вид деятельности, на осуществле­ние которого на территории Российской Федерации требуется получение лицензии в соответствии с настоящим Федеральным законом.

Лицензирование — мероприятия, связанные с предоставлением ли­цензий, переоформлением документов, подтверждающих наличие ли­цензий, приостановлением и возобновлением действия лицензий, анну­лированием лицензий и контролем лицензирующих органов за соблюде­нием лицензиатами при осуществлении лицензируемых видов деятельно­сти соответствующих лицензионных требований и условий.


Лицензирующие органы — федеральные органы исполнительной вла­сти, органы исполнительной власти субъектов Российской Федерации, осуществляющие лицензирование в соответствии с настоящим Феде­ральным законом.

Лицензиат — юридическое лицо или индивидуальный предприни­матель, имеющие лицензию на осуществление конкретного вида дея­тельности».

Статья 17 Закона устанавливает перечень видов деятельности, на осуществление которых требуются лицензии. Нас будут интересовать следующие виды:

• распространение шифровальных (криптографических) средств;

• техническое обслуживание шифровальных (криптографичес­ких) средств;

• предоставление услуг в области шифрования информации;

• разработка и производство шифровальных (криптографичес­ких) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, теле­коммуникационных систем;

• выдача сертификатов ключей электронных цифровых подпи­сей, регистрация владельцев электронных цифровых подписей, оказание услуг, связанных с использованием электронных циф­ровых подписей и подтверждением подлинности электронных цифровых подписей;

• выявление электронных устройств, предназначенных для не­гласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятель­ность осуществляется для обеспечения собственных нужд юри­дического лица или индивидуального предпринимателя);

• разработка и (или) производство средств защиты конфиденци­альной информации;

• техническая защита конфиденциальной информации;

• разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляю­щими предпринимательскую деятельность.

Необходимо учитывать, что, согласно статье 1, действие данного За­кона не распространяется на следующие виды деятельности:

• деятельность, связанная с защитой государственной тайны;

• деятельность в области связи;

• образовательная деятельность.

Данный Закон не препятствует органи­зации учебных курсов по информационной бе­зопасности. В свою очередь. Федеральный Закон «Об образовании» не содержит каких-либо специальных положений, ка­сающихся образовательной деятельности в области И Б.

Основными лицензирующими органами в области защиты инфор­мации являются Федеральное агентство правительственной связи и ин­формации (ФАПСИ) и Гостехкомиссия России. ФАПСИ ведает всем, что связано с криптографией, Гостехкомиссия лицензирует деятельность по защите конфиденциальной информации. Эти же организации возглавля­ют работы по сертификации средств соответствующей направленности. Кроме того, ввоз и вывоз средств криптографической защиты информа­ции (шифровальной техники) и нормативно-технической документации к ней может осуществляться исключительно на основании лицензии Ми­нистерства внешних экономических связей Российской Федерации, вы­даваемой на основании решения ФАПСИ. Все эти вопросы регламенти­рованы соответствующими указами Президента и постановлениями Пра­вительства РФ, которые мы здесь перечислять не будем.


В эпоху глобальных коммуникаций важную роль играет Закон «Об участии в международном информационном обмене» от 4 июля 1996 го­да номер 85-ФЗ (принят Государственной Думой 5 июня 1996 года). В нем, как и в Законе «Об информации...», основным защитным средст­вом являются лицензии и сертификаты. Процитируем несколько пунк­тов из статьи 9.

2. Защита конфиденциальной информации государством распростра­няется только на ту деятельность по международному информаци­онному обмену, которую осуществляют физические и юридические лица, обладающие лицензией на работу с конфиденциальной ин­формацией и использующие сертифицированные средства между­народного информационного обмена.

Выдача сертификатов и лицензий возлагается на Комитет при Пре­зиденте Российской Федерации по политике информатизации, Го­сударственную техническую комиссию при Президенте Российской Федерации, Федеральное агентство правительственной связи и ин­формации при Президенте Российской Федерации. Порядок выдачи сертификатов и лицензий устанавливается Правительством Россий­ской Федерации.

3. При обнаружении нештатных режимов функционирования средств международного информационного обмена, то есть возникновения ошибочных команд, а также команд, вызванных несанкционирован­ными действиями обслуживающего персонала или иных лиц, либо ложной информацией собственник или владелец этих средств дол­жен своевременно сообщить об этом в органы контроля за осуществ­лением международного информационного обмена и собственнику или владельцу взаимодействующих средств международного инфор­мационного обмена, в противном случае он несет ответственность за причиненный ущерб.

При желании здесь можно усмотреть обязательность выявления на­рушителя информационной безопасности - положение, вне всяких со­мнений, очень важное и прогрессивное.

Еще одна цитата — теперь из статьи 17 того же Закона. Статья 17: «Сертификация информационных продуктов, информа­ционных услуг, средств международного информационного обмена. 1. При ввозе информационных продуктов, информационных услуг в Российскую Федерацию импортер представляет сертификат, гаран­тирующий соответствие данных продуктов и услуг требованиям до­говора. В случае невозможности сертификации ввозимых на терри­торию Российской Федерации информационных продуктов, инфор­мационных услуг ответственность за использование данных продук­тов и услуг лежит на импортере.

2. Средства международного информационного обмена, которые обра­батывают документированную информацию с ограниченным досту­пом, а также средства защиты этих средств подлежат обязательной сертификации.


3. Сертификация сетей связи производится в порядке, определяемом Федеральным законом «О связи»».

10 января 2002 года Президентом был подписан очень важный закон «Об электронной цифровой подписи» номер 1-ФЗ(принят Государствен­ной Думой 13 декабря 2001 года), развивающий и конкретизирующий приведенные выше положения закона «Об информации...».

1. Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подпи­си в электронных документах, при соблюдении которых элек­тронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумаж­ном носителе.

2. Действие настоящего Федерального закона распространяется на от­ношения, возникающие при совершении гражданско-правовых сде­лок и в других предусмотренных законодательством Российской Фе­дерации случаях. Действие настоящего Федерального закона не рас­пространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.

Закон вводит следующие основные понятия:

Электронный документ — документ, в котором информация представ­лена в электронно-цифровой форме.

Электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от под­делки, полученный в результате криптографического преобразования ин­формации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата клю­ча подписи, а также установить отсутствие искажения информации в эле­ктронном документе.

Владелец сертификата ключа подписи — физическое лицо, на имя ко­торого удостоверяющим центром выдан сертификат ключа подписи и ко­торое владеет соответствующим закрытым ключом электронной цифро­вой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы).

Средства электронной цифровой подписи — аппаратные и (или) про­граммные средства, обеспечивающие реализацию хотя бы одной из сле­дующих функций: создание электронной цифровой подписи в электрон­ном документе с использованием закрытого ключа электронной цифро­вой подписи, подтверждение с использованием открытого ключа элек­тронной цифровой подписи подлинности электронной цифровой подпи­си в электронном документе, создание закрытых и открытых ключей эле­ктронных цифровых подписей.


Сертификат средств электронной цифровой подписи — документ на бу­мажном носителе, выданный в соответствии с правилами системы серти­фикации для подтверждения соответствия средств электронной цифро­вой подписи установленным требованиям.

Закрытый ключ электронной цифровой подписи — уникальная после­довательность символов, известная владельцу сертификата ключа подпи­си и предназначенная для создания в электронных документах электрон­ной цифровой подписи с использованием средств электронной цифровой подписи.

Открытый ключ электронной цифровой подписи — уникальная после­довательность символов, соответствующая закрытому ключу электрон­ной цифровой подписи, доступная любому пользователю информацион­ной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной циф­ровой подписи в электронном документе.

Сертификат ключа подписи — документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномо­ченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и выдаются удостоверяющим центром участнику информационной системы для подтверждения под­линности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.

Подтверждение подлинности электронной цифровой подписи в элект­ронном документе — положительный результат проверки соответствую­щим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электрон­ной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электрон­ной цифровой подписью электронном документе.

Пользователь сертификата ключа подписи — физическое лицо, ис­пользующее полученные в удостоверяющем центре сведения о сертифи­кате ключа подписи для проверки принадлежности электронной цифро­вой подписи владельцу сертификата ключа подписи.

Информационная система общего пользования — информационная система, которая открыта для использования всеми физическими и юри­дическими лицами и в услугах которой этим лицам не может быть отказа­но.

Корпоративная информационная система — информационная систе­ма, участниками которой может быть ограниченный круг лиц, определен­ный ее владельцем или соглашением участников этой информационной системы.