Правовые аспекты защиты информации с использованием технических средств

Технико-математические аспекты правового обеспечения пред­ставляют совокупность технических средств, математических мето­дов, моделей, алгоритмов и программ, обеспечивающих условия, необходимые для юридического разграничения прав и ответствен­ности относительно регламентов обращения с защищаемой инфор­мацией.

При этом основными условиями являются:

1). фиксация на документе персональных идентификаторов («под­писей») лиц, изготовивших документ и (или) несущих ответствен­ность за него;

2). фиксация (при любой необходимости) на документе персональ­ных идентификаторов (подписей) лиц, ознакомившихся с содержа­нием соответствующей информации;

3). фиксация фактов несанкционированного доступа с любой це­лью к конфиденциальной информации и средствам ее защиты;

4). невозможность незаметного (без оставления следов) изменения содержания информации даже лицами, имеющими к нему санкции на доступ;

5). применение криптографических методов и специальных средств защиты, что позволяет ограничить круг лиц, производящих обработ­ку конфиденциальной информации.

Реализация рассмотренных технико-математических средств за­щиты информации также требует правового обеспечения. Решение этой задачи осуществляется в рамках существующего информацион­ного законодательства.

Электронная цифровая подпись.Документ выполняет две ос­новные функции: информационную и доказательственную. С точки зрения информационной безопасности определяющей является до­казательственная функция: именно она обеспечивает защиту доку­мента от подделки и фальсификации.

В последнее время значительные массивы данных передаются, обрабатываются и хранятся в электронной форме в автоматизиро­ванных информационных системах. Поэтому важное значение име­ет определение правового статуса электронного документа с точки зрения возможности его применения наряду с традиционным бумаж­ным документом.

Определение электронного документа в Российской Федерации законодательстве впервые введено в Федеральном законе «Об элек­тронной цифровой подписи». Электронный документ — документ, в котором информация представлена в электронно-цифровой форме. Следовательно, к электронному документу предъявляются те же тре­бования, что и к традиционному документу на бумажном носителе. В частности, это касается соблюдения требований, обеспечивающих доказательственную функцию документа, т. е. придающих ему юри­дическую силу.

Для электронного документа в силу особой природы машинных носителей информации неприемлемы такие способы идентификации, как собственноручная подпись лица, печать организации, специаль­ный тип бумаги и т. д. Существуют по крайней мере два пути реше­ния данной проблемы.

Один путь - уточнить понятие электронного документа с учетом необходимости его преобразования в письменный акт установленной формы. Так, например, электронный документ можно определить как набор данных, записанных в электронно-цифровой форме, для которых выполнено следующее условие: существует признанная уча­стниками и утвержденная процедура, позволяющая однозначно пре­образовать эти данные в традиционный документ, причем указанная процедура подтверждена посредством традиционного бумажного документа. В Федеральном законе «Об информации, информацион­ных технологиях и о защите информации» об этом говорится следу­ющим образом: документ, полученный из автоматизированной ин­формационной системы, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законо­дательством Российской Федерации.

Другой путь - использовать для подтверждения подлинности электронного документа электронную цифровую подпись (ЭЦП). Такая процедура придания юридической силы документу в электрон­но-цифровой форме была предложена во второй половине 1970-х годов американскими математиками У.Диффи и М.Хеллмэном.

Возможность использования ЭЦП прописана в Федеральном за­коне «Об информации, информационных технологиях и о защите информации»: электронное сообщение, подписанное электронной цифровой подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях, если феде­ральными законами или иными нормативными правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе. Юридическая сила электронной цифровой подписи признается при наличии в автоматизи­рованной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.

Электронная цифровая подпись — набор знаков и символов для подтверждения подлинности электронных документов. В основе создания и использования ЭЦП лежат математические принципы. В России в 1994 г. были приняты государственные стандарты функ­ций, образующих систему ЭЦП: ГОСТ Р 34.11 - 94 «Функция хэширования» и ГОСТ Р 34.10 — 94 «Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптогра­фического алгоритма».

ГОСТ Р 34.11-94 определяет функцию преобразования конечной последовательности двоичных бит электронного документа в двоич­ное число фиксированной длины (256 бит). ГОСТ Р 34.10—94 опре­деляет функцию и алгоритм вычисления ЭЦП документа, а также алгоритм проверки подлинности цифровой подписи.

Система ЭЦП содержит три алгоритма:

1) хэширования - преобразование документа в двоичное число определенной длины;

2) выработки ЭЦП под документом;

3) проверки подписи.

Цифровую подпись практически невозможно подделать. Прове­рить подлинность подписи может любой участник электронного документооборота (ЭДО), знающий открытый ключ. Подписанное сообщение можно, не опасаясь фальсификаций, передавать по лю­бым открытым каналам связи. Если сообщение будет искажено, то подпись окажется недействительной.

Цифровая подпись обеспечивает высокий уровень защиты до­кумента от несанкционированных изменений. Единственный ее недостаток, по сравнению с обычной подписью, — по ней нельзя определить, кто именно подписал документ. Физические характе­ристики обычной подписи неповторимы, а о секретном ключе человек может умышленно либо случайно кому-то рассказать, ключ могут подсмотреть или украсть, если его записали. Данное свой­ство цифровой подписи не является непреодолимым препятстви­ем для ее использования. Достаточно, чтобы каждый из участни­ков электронного документооборота объявил о признании своих обязательств по всем документам, заверенным его цифровой под­писью.

Однако для того, чтобы ЭЦП вошла в оборот, необходимо выпол­нение нескольких важных условий. Во-первых, субъекты граждан­ского документооборота должны оценить удобство и выгодность ее использования. Во-вторых, способ подтверждения подлинности электронных документов с помощью ЭЦП должен доказать свою надежность на практике. В-третьих, требуется законодательное за­крепление следующих положений:

- определения электронно-цифровой подписи;

- возможности и сферы применения электронных документов и цифровой подписи;

- допустимости использования электронных документов в каче­стве доказательств в суде.

Последние условия были во многом выполнены с принятием Фе­дерального закона «Об электронной цифровой подписи». В частно­сти, ст. 1 данного закона гласит:

1. Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнознач­ной собственноручной подписи в документе на бумажном носите­ле.

2. Действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях.

В соответствии со ст. 3 данного закона «электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с ис­пользованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе».

Следует заметить, что попытки разработать правовой режим электронного документа предпринимались в нашей стране с сере­дины 1970-х годов. Приказом от 29.12.1980 № 158 Государственный комитет СССР по делам изобретений и открытий утвердил положе­ние о всесоюзной магнитно-ленточной службе патентной инфор­мации. 20 апреля 1981 г. Государственный комитет по науке и тех­нике СССР постановлением № 100 утвердил «Временные общеот­раслевые руководящие указания о придании юридической силы документам, создаваемым средствами вычислительной техники». При заключении договора об обмене документами на магнитных носителях предписывалось устанавливать дополнительные рекви­зиты, которые должны были отражаться на бумажных копиях магнитных документов.

Государственный комитет СССР по стандартам 9 октября 1984 г. ввел ГОСТ 6.10.4 — 84 «Придание юридической силы документам на машинной носителе и машинограмме, создаваемым средствами вычислительной техники». Данный стандарт определял требования к составу и содержанию реквизитов, придающих юридическую силу документам на машинных носителях информации, создаваемым средствами вычислительной техники. В соответствии с ГОСТом рег­ламентировались следующие положения:

- допускалось «транспортирование (передача, пересылка) доку­мента на магнитном носителе». При этом требовались сопроводи­тельное письмо на бланке с личной подписью, что ставило вне ГОС­Та передачу электронных документов по телекоммуникационным каналам;

- перечислялись обязательные реквизиты, т.е. устанавливались требования к форме документа;

- вводилось понятие подлинника, дубликата, копии документа на машинном носителе.

Подлинник определялся как «первая во времени запись докумен­та, содержащая технико-математические аспекты организационно-правового обеспечения, представляющие указания, что этот документ является подлинником». Дубликаты (копии) определялись как более позднее по времени, аутентичные по содержанию записи документа с указанием на то, что эти документы являются дубликатами. С уче­том технических средств и способов копирования информации на машинных носителях целесообразнее было бы считать полностью аутентичные копии документа подлинниками, т. е. признать, что электронный документ может иметь сколько угодно много подлин­ников. Вполне возможна также и ситуация, когда может понадобить­ся электронная копия электронного документа. Поэтому важным моментом является то, что стандарт признавал за подлинниками, копиями, дубликатами документов на машинном носителе, равно как и за машинограммой (копией электронного документа на бумаж­ном носителе), одинаковую юридическую силу при соблюдении ус­тановленных к ним требований.

В ГОСТе был установлен порядок внесения изменений в доку­менты на машинных носителях. Производить изменения разрешалось только организации — создателю документа. Однако ГОСТ не пре­дусматривал никаких средств для проверки того, кто внес изменения в документ, в случае если возникали разногласия в различных его экземплярах.

Широкого применения в гражданском обороте электронные до­кументы тогда не нашли, и тому было несколько причин. Так, необ­ходимость использования вместе с электронным документом сопро­водительного письма лишало его основного преимущества — скоро­сти обмена. Но главная причина состояла в экономической нецеле­сообразности использования ЭДО.

Необходимо, чтобы законодательно было определено, в каких случаях может быть использован электронный документ, заверенный электронно-цифровой подписью. Федеральный закон «Об инфор­мации, информационных технологиях и о защите информации» го­ворит следующее:

Электронное сообщение, подписанное электронной цифровой подписью или иным аналогом собственноручной подписи, призна­ется электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях, если федеральными законами или иными нормативными правовыми актами не устанав­ливается или не подразумевается требование о составлении такого документа на бумажном носителе.

В целях заключения гражданско-правовых договоров или оформ­ления иных правоотношений, в которых участвуют лица, обмени­вающиеся электронными сообщениями, обмен электронными сооб­щениями, каждое из которых подписано электронной цифровой подписью или иным аналогом собственноручной подписи отправи­теля такого сообщения, в порядке, установленном федеральными законами, иными нормативными правовыми актами или соглаше­нием сторон, рассматривается как обмен документами.

Принципиально новая ситуация сложилась после принятия Фе­дерального закона «Об информации, информационных технологиях и о защите информации» и нового Гражданского кодекса РФ. Ряд основных положений закона, касающихся ЭЦП и электронного до­кумента, рассматривался ранее. Поэтому обратимся к статям ГК РФ, касающимся использования электронных документов и электронно-цифровой подписи.

1. Согласно ст. 160 использование электронно-цифровой подписи либо иного аналога собственно ручной подписи допускается в слу­чаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.

2. В соответствии со ст. 434 договор в письменной форме может быть заключен путем обмена посредством электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору.

3. Согласно ст. 847 договором может быть предусмотрено удосто­верение прав распоряжениями денежными суммами, находящимися на счете, электронными средствами платежа и другими документами с использованием аналогов собственноручной подписи, кодов, па­ролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом.

Таким образом, новый ГК РФ разрешил использование электрон­ных документов, заверенных электронно-цифровой подписью, во всех случаях, когда требуется письменная форма сделки, за ис­ключением тех, при которых установлены специальные требования к форме документа.

Ограничением на использование электронных документов явля­ется ситуация, когда для оформления сделки требуется участие треть­их лиц. Для некоторых таких сделок ГК РФ предусматривает их го­сударственную регистрацию.

Еще одна группа ограничений на ЭДО связана с тем, что деятель­ность по разработке систем ЭЦП подлежит лицензированию. Лицензирование такого рода деятельности связано с шифровальными % средствами и предоставлением услуг по шифрованию информации.

Запрещена деятельность юридических и физических лиц в облас­ти шифровании информации без лицензии. Государственным организациям запрещено использовать не имеющие сертификата сред­ства криптографической защиты информации.

Электронный документ как доказательство.С точки зрения правового режима важным является вопрос о возможности использования электронного документа в качестве доказательства. В 1979 г. Государственный арбитраж СССР принял инструктивные указания № И-1-4. В соответствии с этим документом данные на машинном носителе информации могут быть использованы в качестве доказа­тельств по арбитражному делу. Для этого они должны быть преоб­разованы в форму, пригодную для обычного восприятия и хранения в деле.

Очевидно, что не существует препятствий для использования электронных документов в качестве доказательств, если соблюден ряд условий.

Во-первых, представляемые документы, подготовленные с помо­щью электронно-вычислительной техники, должны быть надлежащим образом оформлены. Документ должен обладать юридической силой, которую придает присутствие необходимых реквизитов.

Во-вторых, документы, подготовленные с помощью электронно-вычислительной техники и представляемые в Высший Арбитражный Суд Российской Федерации в качестве доказательств по делу, долж­ны быть представлены в таком виде, который позволял бы уяснить их содержание. Данные, содержащиеся на техническом носителе (перфоленте, перфокарте, магнитной ленте, магнитном диске и т.п.), могут быть использованы в качестве доказательств по делу только в случаях, когда они преобразованы в форму, пригодную для обыч­ного восприятия и хранения в деле.

Отдельного рассмотрения требует вопрос об использовании в ка­честве доказательств документов, в которых использована система электронно-цифровой подписи. Такая подпись как набор знаков и символов в силу технических свойств не может существовать в фор­ме, пригодной для обычного восприятия. Поэтому в суд должны быть предъявлены традиционные копии документа.

С учетом того, что бумажная копия и подлинник электронного документа имеют одинаковую юридическую силу, остается откры­тым только вопрос о процедуре создания традиционной копии документа.

Проблема частично решена в письме Высшего Арбитражного Суда Российской Федерации от 19 августа 1994 г. Согласно этому пись­менные доказательства представляются в подлиннике или в заверен­ной надлежащим образом копии.

При возникновении вопроса об авторстве и подлинности подпи­си назначается судебная экспертиза. Основное отличие заключается в виде экспертизы, которую необходимо провести для установлении авторства или подлинности подписи — графологической или техни­ческой.

В письме Высшего Арбитражного Суда Российской Федерации от 7 июня 1995 г. говорится, что юридическая сила документа хранимо­го, обрабатываемого и передаваемого с помощью автоматизирован­ных информационных и телекоммуникационных систем может под­тверждаться электронно-цифровой подписью. Юридическая сила электронной цифровой подписи признается при наличии программ­но-технических средств, обеспечивающих идентификацию подписи и при соблюдении установленного режима их использования.

Если учесть, что в ГК РФ и законе «Об информации, информа­ционных технологиях и о защите информации» признается возмож­ность использования электронно-цифровой подписи для удостове­рения электронных документов и существует процедура создания бумажных копий, которые имеют одинаковую юридическую силу с подлинником, то электронные документы подпадают под традици­онное понятие «письменные доказательства».

Процедура разрешения конфликтов.Для нормального функ­ционирования систем электронного документооборота необходимо разработать процедуры разрешения возможных конфликтов. Сторо­ной таких конфликтов, кроме участников ЭДО и фирмы-провайдера, может быть и фирма — разработчик программного обеспечения.

Предполагается, что договор с фирмой-разработчиком учитывает наличие эталонного образца программного обеспечения, который может храниться только у фирмы-провайдера или у всех участников ЭДО. Для этого требуется выполнение двух основных условий:

1). должно быть документально подтверждено, что каждому уча­стнику системы ЭДО (включая фирму-провайдер) установлено про­граммное, соответствующее эталонному образцу программное обес­печение;

2). хранение эталонных образцов организуется таким образом, чтобы исключить возможность изменения эталонного образца про­граммного обеспечения без ведома сторон.

Такой режим может быть обеспечен системой из нескольких от­крытых ключей.

Лицензирование и сертификация в области систем обеспече­ния безопасности информации.В настоящее время, когда совре­менные информационные технологии интенсивно внедряются во все сферы жизни и деятельности общества, национальная и как ее часть экономическая безопасность государства начинает напрямую зависеть от обеспечения информационной безопасности. Именно поэтому в целях создания гарантий по обеспечению необходимой стойкости средств защиты информации государство берет на себя ответствен­ность за лицензирование деятельности организаций, занимающихся защитой информации, и сертификацию соответствующих техниче­ских средств.

Сегодняшний уровень защиты от внешних информационных уг­роз в глобальных открытых сетях не может быть сочтен удовлетво­рительным: до сих пор в России отсутствует всеобъемлющая и тех­нически выверенная стратегия в этой области. В целях изменения ситуации должен быть безотлагательно разработан и осуществлен комплекс мер в области законодательства и стандартизации средств, обеспечивающих информационную безопасность России. К перво­очередным задачам в этом направлении относятся:

- принятие специального закона, аналогичного «Computer Security Act» в США, возлагающего на конкретные госструктуры ответствен­ность за методологическую поддержку работ в области информаци­онной безопасности;

- выработку унифицированных подходов к обеспечению безо­пасности для организаций различного профиля, размера и форм собственности;

- обеспечение появления на рынке достаточного числа разнооб­разных сертифицированных средств для решения задач информаци­онной безопасности.

Одной из проблем в области защиты информации в России яв­ляется отсутствие официальных документов с подробными рекомен­дациями по построению безопасных информационных систем, аналогичных разработанному, например, Американским институтом стандартных технологий (США) и британскому стандарту. Хотя в Ве­ликобритании не существует нормативных актов, требующих выпол­нения государственных стандартов, около 60% британских фирм и организаций добровольно используют разработанный стандарт, а остальные намерены внедрять его рекомендации в ближайшее время.

Лицензирование и сертификация в области систем обеспечения безопасности информации могут снизить остроту этой проблемы. Необходимо создание пользователю гарантий того, что используемые им средства защиты информации способны обеспечивать необходи­мый уровень защиты. Именно лицензирование может способствовать тому, что проблемой защиты информации будут заниматься только высококвалифицированные специалисты в этой области, а создавае­мые ими продукты будут находиться на соответствующем уровне и смогут пройти сертификацию.

Без проведения сертификации невозможно оценить, содержит ли то или иное средство потенциально вредные недокументированные возможности, наличие которых особенно характерно для большин­ства зарубежных продуктов, способные в определенный момент привести к сбоям в работе системы и даже к необратимым для нее последствиям. Характерным примером таких недокументированных возможностей является заложенная фирмой Ericsson при разработке телефонных станций, на базе которых МПС РФ строит свою теле­фонную сеть, возможность блокировать их работу при получении вызова определенного телефонного номера, который фирма отказы­вается назвать. И этот пример не является единственным.

Процесс сертификации программного продукта занимает пример­но столько же времени, сколько и его разработка, и практически невозможен без исходных текстов программ с комментариями. В то же время многие зарубежные фирмы не желают представлять исходные тексты своих программных продуктов в российские серти­фикационные центры. Например, несмотря на принципиальное согласие фирмы Microsoft. на сертификацию в России ОС Windows NT, в которой уже выявлено более 50 ошибок, связанных с обеспе­чением безопасности, этот вопрос уже в течение многих месяцев не может сдвинуться с мертвой точки из-за отсутствия ее исходных текстов.

Трудности с сертификацией приводят к тому, что раньше других среди продуктов одного класса сертификат быстрее получают самые простые, в силу чего они кажутся пользователю более надежными. Длительные же сроки сертификации приводят к тому, что фирма-разработчик успевает вывести на рынок новую версию своего про­дукта, и процесс становится бесконечным.

Сертификацию технических средств защиты информации затруд­нительно проводить без соответствующих стандартов, создание ко­торых в России не в последнюю очередь сдерживается из-за отсутст­вия финансовых средств. Эта проблема решается, если появляются несколько фирм, заинтересованных в сбыте, и несколько организа­ций, заинтересованных в использовании соответствующих техниче­ских средств. Например, плодом совместных усилий подобных ор­ганизаций, фирм и ФСТЭК (ранее Гостехкомиссия (ГТК)) стала разработка Руководящего технического материала ГТК РФ «Средст­ва вычислительной техники. Межсетевые экраны. Защита от несанк­ционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Он позволил классифицировать средства, которые способны в какой-то степени обеспечить защиту корпоративных сетей от внешних вторжений.

Документ предполагает существование нескольких классов меж­сетевых экранов: от простейших, позволяющих только осуществлять контроль потоков информации, до самых сложных, выполняющих полное перекодирование входящей информации, полностью защи­щающее корпоративную сеть от воздействий извне. Уже сегодня сертификацию на соответствие техническим условиям, разработан­ным в соответствии с Руководящим техническим материалом, что допускается действующим законодательством, прошли такие межсе­тевые экраны, как Sun Screen, SKIPbridge и Pandora. Однако и при их сертификации без борьбы не обошлось.

Интернет заостряет любую проблему обеспечения безопасности в сетевой среде до предела, и если раньше можно было игнорировать развитие информационных технологий, мировой опыт и международное законодательство в области защиты информации и комму­никаций, то сейчас этого себе позволить уже нельзя. Интернет ведет жесткий отбор, у него своя система лицензирования и сертификации, где неудачник отсекается без объяснений, независимо от того, есть у него какой-либо документ либо нет.

С учетом требований информационной безопасности и мировой практики деятельности в сфере защиты информации представляется целесообразным присоединение России к сложившимся системам международной стандартизации и сертификации информационных технологий, что на практике означает:

- приведение национальных и отраслевых стандартов в соответс­твие с международными;

- участие представителей России в международных системах сер­тификации (в том числе в сертификационных испытаниях);

- возможность признания в России международных сертифи­катов.

Что касается восприятия сертификатов пользователями, то се­годня на российского пользователя завораживающе действует само слово «сертификат», причем часто даже не обращается внимание на соответствие чему он выдан. Например, межсетевые экраны зачастую сертифицируются не на обеспечение защиты корпора­тивной сети при передаче информации по открытым каналам свя­зи, а в качестве, например, однопользовательской системы для доступа ко всем ресурсам сети, после чего пользователю не без успеха внушается мысль, что ему предлагается сертифицированное средство.

Можно ли в настоящее время использовать несертифицированные средства защиты? Запрета на это нет, но только тогда, когда, как это прямо оговорено в законе, они используются для обработки инфор­мации ограниченного доступа или для подключения к сетям внутри­корпоративного информационного обмена. Однако использование несертифицированных средств в соответствии с законодательством не позволяет решать спорные вопросы в судебном порядке и грозит убытками. Ситуацию не спасает даже запись в договоре с фирмой, поставившей несертифицированное оборудование, о ее материальной ответственности в случае конфликта при проведении платежных операций, поскольку при использовании такого оборудования юри­дически невозможно доказать наличие факта выполнения операции, явившейся предметом конфликта.

Кроме того, в соответствии с действующим законодательством любая организация, занимающаяся сбором и обработкой персональ­ных данных (например, операций с пластиковыми карточками), должна иметь лицензию на право заниматься подобной деятельно­стью и использовать для этого сертифицированные средства.

Существуют серьезные проблемы обеспечения информационной безопасности банков, которые до сих пор не нашли своего решения.

Например, как обеспечить защищенный обмен информацией с пред­ставительством банка за рубежом? Здесь имеет место юридическая коллизия, в соответствии с которой, с одной стороны, вывозить оте­чественные средства защиты за рубеж можно только по специально­му разрешению, а с другой — можно использовать средства зашиты зарубежного производства, только прошедшие российскую сертифи­кацию, а таковые отсутствуют.

Другой вопрос: нужно ли банку самому разрабатывать защищен­ную автоматизированную систему?

Для того чтобы банк мог разрабатывать защищенную АБС, он должен получить лицензию, если будут использоваться криптогра­фические средства. При этом банк не получит лицензию, если в его уставе прямо не записано, что он может заниматься разработкой защищенных систем, поскольку подобная деятельность относится к сфере оказания услуг.

ЦБ РФ располагает достаточно объемным методическим доку­ментом по организации информационной защиты кредитно-финан­совых учреждений, разработанным первоначально в виде концепции фирмой «Ланит» и согласованным с ГТК. Он описывает все необхо­димые шаги защиты банковской информации от угроз и пути их реализации.

Защищенная автоматизированная система с элементами крипто-защиты, основанными на продукте «Верба», была реализована и про­шла аттестацию.

В соответствии с законодательством системы подлежат аттестации, а их элементы — сертификации в Клиринговом центре МФД. Раз­работкой концепции системы занималась фирма «Амулет», не име­ющая лицензии и не являющаяся специалистом в подобных вопро­сах.

После экспертизы концепции системы в ГТК находившийся на стадии реализации проект пришлось коренным образом перера­батывать при помощи специализированных фирм, МФД понес круп­ные дополнительные расходы.

Даже специализированные организации практически никогда в одиночку не работают над созданием защищенных информацион­ных систем, поэтому банку заниматься разработкой защищенной АБС нет смысла, так как сложность подобных работ очень высока. Во Франции ряд банков на паях создали фирму, которая взяла на себя решение задачи создания защищенной АБС и разработала такую систему.

Если возникает потребность в подобной системе, можно пойти либо по такому же пути, либо, что более эффективно, создать орга­низацию, которая смогла бы четко сформулировать требования по модификации существующих АБС для их реализации одной из фирм, имеющих лицензию на разработку систем информационной безопасности.

Для решения проблем информационной безопасности необходи­ма тесная координация деятельности всех субъектов, создающих нормативные документы и осуществляющих надзорные функции, которых касаются вопросы безопасности:

- пользователей;

- производителей средств безопасности;

- государственных органов.

В соответствии с установленным законодательством функции контроля и регулирования разработки, эксплуатации, сертификации программных и технических средств защиты информации от несанк­ционированного доступа, а также лицензирования предприятий на право деятельности в области защиты информации возложены на Федеральную службу по техническому и экспортному контролю (ФСТЭК).

ФСТЭК России (бывшая Гостехкомиссия) разработана необходи­мая нормативная база в области защиты информации от несанкцио­нированного доступа. Рассмотрим структуру основных руководящих документов.

1. «Защита от несанкционированного доступа к информации. Термины и определения» — устанавливает единый терминологиче­ский стандарт в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, являющийся обязательным для применения во всех видах документации.

2. «Концепция защиты средств вычислительной техники и ав­томатизированных систем от несанкционированного доступа к информации» — описывает основные принципы, на которых ба­зируется проблема защиты информации от несанкционированного доступа и ее отношение к общей проблеме безопасности информа­ции. В концепции отражены следующие вопросы: определение не­санкционированного доступа, основные принципы защиты, модель нарушителя в автоматизированных системах, основные способы не­санкционированного доступа, основные направления обеспечения защиты, основные характеристики технических средств защиты, классификация автоматизированных систем, организация работ по защите. Указанная концепция предназначена для заказчиков, разработчиков и пользователей средств вычислительной техники и автоматизированных систем, основное назначение которых — об­работка, хранение и передача защищаемой информации.

3. «Средства защиты информации. Защита информации в кон­трольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автома­тизированных кассовых систем и требования по защите инфор­мации» — устанавливает классификацию контрольно-кассовых машин, автоматизированных кассовых систем, информационных технологий и требования по защите информации, связанной с налогообложением. В соответствии с этим документом устанавливают­ся два класса контрольно-кассовых машин, автоматизированных кассовых систем и информационной техники. К первому классу от­носятся системы, обрабатывающие информацию о денежных оборо­тах на сумму до 350 минимальных размеров оплаты труда в сутки, а ко второму — на сумму свыше 350 минимальных размеров оплаты труда.

4. «Средства вычислительной техники. Защита от несанкцио­нированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — регламенти­рует требования защищенности средств вычислительной техники от несанкционированного доступа, применяемые к общесистемным программным средствам и операционным системам. Здесь выделя­ются семь классов защищенности, которые подразделяются на четы­ре группы. Каждый класс содержит перечень необходимых для реа­лизации механизмов защиты информации от несанкционированно­го доступа.

5. «Автоматизированные системы. Защита от несанкциони­рованного доступа к информации. Классификация автоматизи­рованных систем и требования по защите информации» — клас­сифицирует автоматизированные системы в зависимости от наличия в них информации различного уровня конфиденциальности, уров­ней полномочий субъектов доступа, режимов обработки данных по девяти классам и оговаривает совокупность требований к каж­дому из них. В зависимости от особенностей обработки информации в автоматизированных системах классы подразделяются на три группы.

6. «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Пока­затели защищенности от несанкционированного доступа к ин­формации» — декларирует требования к различным классам межсе­тевых экранов. Всего выделяются пять классов защищенности меж­сетевых экранов. Классификация производится в зависимости от класса защищенности автоматизированных систем, для защиты которой используется межсетевой экран.

На основе руководящих документов и нормативной базы ФСТЭК России производится:

- разработка, сертификация и использование средств защиты информации от несанкционированного доступа;

- лицензирование предприятий на право деятельности в области защиты информации на территории Российской Федерации.

Список сокращений