О роли государства в регулировании разработки, производства и обращения средств защиты информации

Г.В. Емельянов



С момента возникновения на территории бывшего СССР ряда независимых образований и формирования России как самостоятельного государства остро встал вопрос о необходимости коренной переработки законодательной базы страны во всех областях деятельности общества и государства. В полной мере это относилось и к сфере деятельности, связанной с вопросами обеспечения информационной безопасности как Российской Федерации в целом, так и по отдельным частным направлениям этой проблемы.

К настоящему времени достаточно много в этом отношении нашими законодательными органами уже сделано.

В качестве примеров можно указать принятие целого ряда важных законов – таких, как ФЗ «Об информации, информатизации и защите информации», ФЗ «Об участии в международном информационном обмене», недавно принятые «Закон об ЭЦП» и «Закон о связи» и т.д. Наконец, как положительный момент, безусловно, следует отметить утверждение в 2000 году Президентом страны Доктрины информационной безопасности РФ, в которой впервые на таком высоком государственном уровне сформулированы стержневые направления деятельности по решению проблемы обеспечения информационной безопасности страны.

Понятно, что считать эту проблему полностью решенной пока нельзя.

Этому вопросу было даже посвящено одно из заседаний МВК по информационной безопасности СБ РФ, по результатам которого был выпущен документ «Основные направления нормативного правового обеспечения информационной безопасности РФ»1 , в котором были даны соответствующие рекомендации, предназначенные, в первую очередь, для органов и субъектов, имеющих право законодательной инициативы.

Одним из вопросов, который подвергается постоянным дискуссиям, является вопрос о роли государства в области разработки, производства и обращения средств защиты информации.

С одной стороны, чрезмерная зарегулированность обращения средств защиты (по крайней мере, в части криптографических средств) приводит к появлению таких тупиков, как невозможность осуществления государственного контроля за перемещением через рубеж средств защиты информации, реализованных программным способом, с учетом того, что соответствующий алгоритм можно передать по глобальной сети интернет; нелогичность контроля со стороны государства за производством и обращением средств криптографической защиты невысокого уровня стойкости для тех потребителей, для которых такого уровня достаточно. А такая ситуация у нас в стране до недавнего времени реально существовала.

С другой стороны, полный уход государства с этого поля деятельности, очевидно, недопустим, хотя бы потому, что нередко речь идет о защите государственно значимой информации, вплоть до информации, составляющей государственную тайну.

К настоящему времени определенные продвижения здесь уже есть. Так, Постановлением Правительства РФ № 691 от 23.09.2002 г. установлены нижние границы для числа ключей, начиная с которых государство осуществляет контроль за производством и использованием соответствующих средств. Считается, что если сам потребитель идет на приобретение и использование подобного шифровального средства, то государственный контроль за производством, распространением и т.д. этих средств не нужен и осуществляться не будет.

Вместе с тем, что касается деятельности, направленной на обеспечение необходимого уровня защищенности чувствительной информации, сопряженной с возможностью нанесения ущерба правам, законным интересам граждан, обороне и безопасности государства, включая и защиту гостайны, такая деятельность, по-видимому, должна относиться к сфере, регулируемой государством.

Представляется, что на этом водоразделе можно было бы достичь компромисса, но последнее не устраивает некоторых разработчиков проектов законодательных актов в области создания и использования средств защиты информации, мотивирующих свое несогласие тем, что это будет тормозить процесс развития и широкого внедрения информационных технологий у нас в стране.

Казалось, что с выходом «Закона о техническом регулировании», дискуссию на эту тему можно закрывать, поскольку, на первый взгляд, этот закон достаточно четко описал поле, на котором государство осуществляет регулирующие и контролирующие функции во всех областях производства, включая и сферу безопасности IT-технологий.

В действительности это не так. По прочтении Закона возникает целый ряд вопросов, требующих, мягко говоря, разъяснений компетентных органов.

Так, сферы деятельности, в которых признается законность жесткого государственного регулирования, сведены всего к следующим позициям:


Тем самым ни о какой главенствующей роли государства в сфере защиты информации, если она не несет в себе признаков гостайны или информации ограниченного доступа, в том числе и в критически важных секторах экономики, речь в законе не идет. Конечно, в ряде случаев можно провести логическую цепочку доказательств или обоснований, сводящих защиту подобной информации к одной из указанных выше позиций. Но все это нужно проводить опять-таки соответствующими законами и примет ли их Государственная Дума – вопрос, ответ на который весьма неоднозначен.

Очевидно, что в разрешении этой неопределенной ситуации многое будет зависеть от позиций и активности уполномоченных в этих вопросах органов исполнительной власти и других участников процесса.

В настоящее время под эгидой Гостехкомиссии РФ идет работа над теми документами, которые необходимо разработать и ввести в действие для того, чтобы данный «Закон о техническом регулировании» действовал без ущерба для безопасности государства. Эта работа ведется Госстандартом России, Минэкономразвития и Гостехкомиссией России по поручению Правительства и на основании Статьи 5 указанного закона, согласно которой (в упрощенной редакции) в случае отсутствия требований технических регламентов в отношении оборонной продукции, поставляемой по государственному оборонному заказу, и продукции, сведения о которой являются информацией ограниченного доступа, обязательными являются требования, установленные федеральными органами исполнительной власти.

Одновременно начинается разработка трех регламентов в области защиты информации: на 2004 год запланирована разработка общего технического регламента «Безопасность информационных технологий»; в 2005-2006 годах планируется разработка специальных технических регламентов – «Требования к средствам и системам безопасных информационных технологий» и «Требования по защите информации, обрабатываемой на объектах информатизации».

В целом, однако, и Статья 5 ФЗ, и указанные выше мероприятия далеко не покрывают всего поля возможного присутствия государства в сфере правоотношений в области защиты информации. Так, что касается прав личности, критических технологий и т.п., находящихся вне зоны действия Статьи 5, то здесь роль государства пока четко не очерчена. Попытка решить часть этой проблемы, касающейся критических технологий, делается в разрабатываемой в соответствии с ФЦП «Электронная Россия» Концепции защиты государственных систем от несанкционированного доступа, в которых, очевидно, циркулирует и обрабатывается информация, выходящая за рамки установленных Статьей 5 границ.

Несколько слов о лицензировании. Закон «О техническом регулировании» не отменяет действующих нормативных документов о лицензировании и, в частности, положений Федерального Закона «О лицензировании отдельных видов деятельности» №128-ФЗ от 8 августа 2001 г. Хотя такие инициативы со стороны некоторых субъектов, работающих над совершенствованием законодательной базы в области информатизации, постоянно идут. В то же время некоторые изменения в ряд нормативных документов, по-видимому, будут внесены. В частности, это касается Указа Президента РФ № 334 от 3 апреля 1995г., «Положения ПКЗ 99», определяющего порядок разработки, производства, реализации и эксплуатации криптографических средств защиты информации, не содержащей сведений, составляющих гостайну. Однако кардинальных изменений в ближайшее время не ожидается.

В целом Закон «О техническом регулировании» существенно снижает нагрузку на государственные органы в области регулирования рынка обращения средств защиты информации и переводит эти вопросы в область общественного саморегулирования, в частности, через инструмент добровольной сертификации.

В этой связи существенно возрастает роль общественных объединений и организаций, действующих в рассматриваемой сфере. Многое будет зависеть от активности и готовности этих объединений к работе в новых условиях.

В данном контексте можно привести один положительный пример. В июне 2003 года Госстандартом РФ зарегистрирована «Система добровольной сертификации средств информационных технологий по требованиям информационной безопасности» («Ай Ти Сертифика»), которая разработана некоммерческой организацией – Ассоциацией «ЕВРААС» – и будет действовать на ее базе. Межрегиональной общественной организации «Ассоциация защиты информации», от лица которой подготовлена данная публикация, было предложено войти в эту систему в качестве одного из соисполнителей. Это предложение было принято и в настоящее время идет разработка необходимых организационно-нормативных документов по обеспечению практической деятельности указанной системы добровольной сертификации. Следует отметить большую помощь в разработке идеи создания этой системы и принципов ее функционирования в рамках действующего законодательства аппарата Гостехкомиссии РФ.

К сожалению, подобных примеров пока еще мало в отечественной практике, тогда как на Западе роль негосударственных объединений и ассоциаций, в том числе и межгосударственного характера, в регулировании деятельности в той или иной сфере уже общепризнанна. Одной из причин подобного отставания, по-видимому, является недостаточный уровень развития у нас общественного правосознания, в то время как отечественная законодательная база наделяет общественные организации достаточно широкими полномочиями по влиянию на научно-техническую и промышленную политику, включая право в установленном законодательством РФ порядке запрашивать и получать от соответствующих органов исполнительной власти, организаций в пределах их компетенций ту или иную информацию в своей сфере деятельности, право на участие в обсуждении проектов законодательных актов и программ, наконец, право осуществления в отдельных случаях общественного контроля за выполнением установленных норм, правил и нормативов. Одной из форм последнего является введение Статьей 9.9. «Закона о техническом регулировании» порядка участия в экспертизах проектов технических регламентов представителей федеральных органов исполнительной власти, научных организаций, саморегулируемых организаций, общественных объединений предпринимателей и потребителей на паритетных началах.

В целом, имея в виду движение, в том числе и России, к так называемому информационному обществу, следует признать как национально значимую задачу консолидацию усилий общественных организаций с государственными организациями и органами власти для обеспечения информационной безопасности РФ, частью которой является и затронутая в данной работе проблема.


1 Этот документ опубликован в журнале «Информационное общество», 2001. – № 4. – С. 4–9.

Емельянов Геннадий Васильевич - Председатель Совета МОО «Ассоциация защиты информации», член-корреспондент Академии криптографии РФ, кандидат физико-математических наук, действительный государственный советник 3 класса.


© Информационное общество, 2003, вып. 4, с. 1.