Файл: Правовое обеспечение информационной безопасности Структура информационной сферы и характеристика ее элементов.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 30.11.2023
Просмотров: 316
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Лицензирующий орган обязан обратиться в суд с заявлением об аннулировании лицензии, если лицензиат не устранил грубое нарушение лицензионных требований в установленный судом или ответственным должностным лицом срок административного приостановления деятельности и приостановления действия лицензии либо в установленный лицензирующим органом срок исполнения вновь выданного предписания.
Лицензия аннулируется по решению суда на основании рассмотрения заявления лицензирующего органа об аннулировании лицензии.
30.Понятие сертификации по российскому законодательству.
В соответствии с Законом о защите прав потребителей (ст. 7, п. 4): "Товары, на которые законами или стандартами установлены требования, обеспечивающие безопасность жизни, здоровья потребителя и охрану окружающей среды и предотвращение причинения вреда имуществу потребителя, а также средства, обеспечивающие безопасность жизни и здоровья потребителя, подлежат обязательной сертификации в установленном порядке". Ввозимая на территорию России продукция, подлежащая обязательной сертификации, должна соответствовать требованиям российской системы сертификации (система ГОСТ Р). При оформлении договоров (контрактов) на такую продукцию в них должно быть предусмотрено требование о наличии сертификата и знака соответствия, выданных на основании действующего порядка.
31.Правовая регламентация сертификационной деятельности в области защиты информации.
. Лицензированием в области защиты информации называется деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации. Государственная политика в области лицензирования отдельных видов деятельности и обеспечения защиты жизненно важных интересов личности, общества и государства определяется Постановлением Правительства Российской Федерации от 24 декабря 1994 г. № 1418 «О лицензировании отдельных видов деятельности» (в ред. Постановлений Правительства РФ от 05.05.95 № 450, от 03.06.95 № 549, от 07.08.95 № 796, от 12.10.95 № 1001, от 22.04.97 № 462, от 01.12.97 № 1513, также см. постановление от 11.02.02 № 135).
Лицензией называется разрешение на право проведения работ в области защиты информации. Лицензия выдается на конкретные виды деятельности на три года, по истечении которых осуществляется ее перерегистрация в порядке, установленном для выдачи лицензии.
Лицензия выдается в том случае, если предприятие, подавшее заявку на получение лицензии, имеет условия для проведения лицензирования: производственную и испытательную базу, нормативную и методическую документацию, располагает научным и инженерно-техническим персоналом.
Организационную структуру системы государственного лицензирования деятельности предприятий в области защиты информации образуют:
· государственные органы по лицензированию;
· лицензионные центры;
· предприятия-заявители.
Государственные органы по лицензированию:
· организуют обязательное государственное лицензирование деятельности предприятий;
· выдают государственные лицензии предприятиям-заявителям;
· согласовывают составы экспертных комиссий, представляемые лицензионными центрами;
· осуществляют контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации.
Лицензионные центры:
· формируют экспертные комиссии и представляют их состав на согласование руководителям соответствующих государственных органов по лицензированию, которыми являются ФСТЭК и ФСБ;
· планируют и проводят работы по экспертизе предприятий-заявителей;
· контролируют полноту и качество выполненных лицензиатами работ.
Лицензионные центры при государственных органах по лицензированию создаются приказами руководителей этих органов. Экспертные комиссии формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, органов государственного управления, других организаций и учреждений. Экспертные комиссии создаются по одному или нескольким направлениям защиты информации.
Лицензированию ФСТЭК России подлежат:
· сертификация, сертификационные испытания защищенных технических средств обработки информации (ТСОИ), технических и программных средств защиты, средств контроля эффективности мер защиты информации, программных средств обработки, защиты и контроля защищенности;
· аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, объектов ВТ и выделенных помещений на соответствие требованиям руководящих и нормативных документов по безопасности информации;
· разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных объектов информатики, технических средств защиты и контроля эффективности мер защиты информации, защищенных программных средств обработки, защиты и контроля защищенности информации;
· проведение специальных исследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ;
· проектирование объектов в защищенном исполнении.
На орган по лицензированию возлагается:
· разработка правил, процедур и нормативно-методических документов по вопросам проведения лицензирования;
· осуществление научно-методического руководства лицензионной деятельностью;
· публикация необходимых сведений о системе лицензирования;
· рассмотрение заявлений организаций и воинских частей о выдаче лицензий;
· согласование заявлений с воинскими частями, ответственными за соответствующие направления защиты информации;
· согласование состава экспертных комиссий;
· организация и проведение специальных экспертиз;
· принятие решения о выдаче лицензии;
· выдача лицензий;
· принятие решения о приостановлении, возобновлении действия лицензии или ее аннулировании;
· ведение реестра выданных, приостановленных, возобновленных и аннулированных лицензий;
· приобретение, учет и хранение бланков лицензий;
· организация работы аттестационных центров;
· осуществление контроля за полнотой и качеством проводимых лицензиатами работ.
В соответствии со статьей 17 Федерального закона от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности» (с изменениями, введенными Федеральным законом от 02.07.2005 № 80-ФЗ) лицензированию подлежат следующие виды деятельности (в области защиты информации):
· деятельность по распространению шифровальных (криптографических) средств;
· деятельность по техническому обслуживанию шифровальных (криптографических) средств;
· предоставление услуг в области шифрования информации;
· разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
· деятельность по разработке и (или) производству средств защиты конфиденциальной информации; деятельность по технической защите конфиденциальной информации;
· деятельность по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
В рамках рассматриваемых видов деятельности были выпущены отдельные постановления Правительства Российской Федерации, разъясняющие порядок лицензирования. Среди них:
· Постановление Правительства Российской Федерации от 26.01.2006 № 45 «Об организации лицензирования отдельных видов деятельности»; Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»;
· Постановление Правительства Российской Федерации от 31.08.2006 № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»;
· Постановление Правительства Российской Федерации от 23.09.2002 № 691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».
В соответствии с этими документами лицензиаты обязаны ежегодно представлять в орган по лицензированию или аттестационный центр сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности. Лицензиаты несут ответственность за полноту и качество выполняемых работ, обеспечение сохранности государственной тайны, доверенной им в ходе практической деятельности.
Для нормального функционирования систем электронного документооборота (ЭДО) необходимо разработать процедуры разрешения возможных конфликтов. Стороной таких конфликтов, кроме участников ЭДО и фирмы-провайдера, может быть и фирма-разработчик программного обеспечения.
Предполагается, что договор с фирмой-разработчиком учитывает наличие эталонного образца программного обеспечения, который может храниться только у фирмы - провайдера или у всех участников ЭДО. Для этого требуется выполнение двух основных условий:
должно быть документально подтверждено, что каждому участнику системы ЭДО (включая фирму - провайдер) установлено программное, соответствующее эталонному образцу;
хранение эталонных образцов организуется таким образом
, чтобы исключить возможность изменения эталонного образца программного обеспечения без ведома сторон.
Такой режим может быть обеспечен системой из нескольких открытых ключей.
Сегодня, когда современные информационные технологии интенсивно внедряются во все сферы жизни и деятельности общества, национальная, и как ее часть экономическая безопасность государства начинает напрямую зависеть от обеспечения информационной безопасности. Именно поэтому с целью создания гарантий по обеспечению необходимой стойкости средств защиты информации государство берет на себя ответственность за лицензирование деятельности организаций, занимающихся защитой информации, и сертификацию соответствующих технических средств.
Сегодняшний уровень защиты от внешних информационных угроз в глобальных открытых сетях не может быть сочтен удовлетворительным: до сих пор в России отсутствует всеобъемлющая и технически выверенная стратегия в этой области. С целью изменения ситуации должен быть безотлагательно разработан и осуществлен комплекс мер в области законодательства и стандартизации средств, обеспечивающих информационную безопасность России. К первоочередным задачам в этом направлении относятся:
· принятие специального закона, аналогичного "Computer Security Act" в США, возлагающего на конкретные госструктуры ответственность за методологическую поддержку работ в области информационной безопасности;
· выработку унифицированных подходов к обеспечению безопасности для организаций различного профиля, размера и форм собственности;
· обеспечение появления на рынке достаточного числа разнообразных сертифицированных средств для решения задач информационной безопасности.
Одной из проблем в области защиты информации в России является отсутствие официальных документов с подробными рекомендациями по построению безопасных информационных систем, аналогичных разработанному, например, Американским институтом стандартных технологий (США) и британскому стандарту. Хотя в Великобритании не существует нормативных актов, требующих выполнения государственных стандартов, около 60% британских фирм и организаций добровольно используют разработанный стандарт, а остальные намерены внедрять его рекомендации в ближайшее время.
Лицензирование и сертификация в области систем обеспечения безопасности информации могут снизить остроту этой проблемы. Необходимо создание пользователю гарантий того, что используемые им средства защиты информации способны обеспечивать необходимый уровень защиты. Именно лицензирование может способствовать тому, что проблемой защиты информации будут заниматься только высококвалифицированные специалисты в этой области, а создаваемые ими продукты будут находиться на соответствующем уровне и смогут пройти сертификацию.