Лицензирование средств криптографической защиты информации

В соответствии с упомянутыми выше законами, а также на основании Закона Российской Федерации от 10 июня 1993 года № 5151-1 “О сертификации продуктов и услуг”ФАПСИ 15 ноября 1993 года зарегистрировало в Госстандарте России “Систему сертификации средств криптографической защиты информации”POCC.RU.0001.030001. Данный документ определил организационную структуру системы сертификации шифровальных средств ФАПСИ, а также установил основные правила проведения сертификационных исследований и испытаний криптографических средств защиты информации и закрытых с их помощью систем и комплексов обработки, хранения и передачи информации.

Если разработка, производство, реализация шифровальных средств осуществляются относительно малым числом предприятий и организаций, то вопросы лицензирования эксплуатации подобных средств и оказания услуг с их использованием затрагивают интересы несравненно большего числа предприятий, организаций и учреждений. В первую очередь, к таким организациям следует отнести банки и другие финансово-кредитные организации, широко применяющие шифровальные средства и средства электронной цифровой подписи для защиты информации, составляющей банковскую или коммерческую тайну, но не содержащей сведений, составляющих государственную тайну.

В общем случае, как и все иные юридические лица, банк может заявлять права на осуществление любой деятельности, связанной с защитой информации в системах электронного документооборота. Поэтому с учетом ситуации, которая де-факто сложилась в стране, необходимо говорить о видах деятельности, на которые необходимо получить лицензию.

В соответствии с перечнем видов деятельности, подлежащих лицензированию ФАПСИ, можно выделить следующие виды деятельности:

1) эксплуатация шифровальных средств защиты информации при ее обработке, хранении и передаче по каналам связи и (или) средств электронной цифровой подписи (независимо от способа реализации и контекста использования этих средств), а также шифровальных средств для защиты электронных платежей с использованием пластиковых кредитных карточек и смарт-карт;

2) оказание услуг по защите (шифрованию) информации;

3) монтаж, установка, наладка шифровальных средств для защиты информации при ее обработке, хранении и передаче по каналам связи и (или) средств электронной цифровой подписи, шифровальных средств для защиты электронных платежей с использованием пластиковых кредитных карточек и смарт-карт.

Как уже отмечалось выше, в соответствии с имеющимися законодательными и нормативными актами лицензию должно получать каждое юридическое лицо, осуществляющее деятельность в области защиты информации. Для представляющих наибольший интерес защищенных криптографическими средствами систем обмена и расчета “банк-клиент” это означает, что в классическом варианте за лицензией на эксплуатацию шифровальных средств должен обращаться как сам банк, так и его клиенты, являющиеся абонентами сети электронного документооборота. Однако, учитывая особенности банковского документооборота, ФАПСИ проработало вопрос о возможности применения иного порядка лицензирования установки, эксплуатации сертифицированных шифровальных средств и предоставления услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, в корпоративных сетях типа “банк-клиент”, системах финансового и фондового рынка при защите информации по уровню “С”. В принципе данный порядок лицензирования перечисленных видов деятельности может быть распространен и на другие предприятия, организации и учреждения Российской Федерации.

Под уровнем “С” понимается криптографическая защита информации на уровне потребителя. Информационно-телекоммуникационные системы создаются предприятием самостоятельно на основе сертифицированных средств криптографической защиты информации (СКЗИ), предназначенных для защиты конфиденциальной информации, встраивание которых в прикладные системы должно происходить с выполнением интерфейсных и криптографических протоколов, определенных технической документацией на СКЗИ.

Предприятию – организатору сети будет выдаваться лицензия на право эксплуатации всей защищенной криптографическими средствами сети, включающей всех его клиентов, в следующей последовательности.

1. Лицензия на право установки, эксплуатации сертифицированных ФАПСИ шифровальных средств и предоставления услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, в конкретных корпоративных сетях типа “банк-клиент”, системах финансового и фондового рынка, предприятий, организаций и учреждений Российской Федерации при защите информации по уровню “С” может выдаваться заявителю, который будет эксплуатировать сеть указанного типа (далее – организатор сети). Обязанности по обеспечению безопасности применения СКЗИ устанавливаются договорами, заключаемыми организатором сети с пользователями сети. Пользователи сети эксплуатируют сертифицированные СКЗИ без оформления лицензий. При необходимости Лицензионный центр ФАПСИ выдает пользователям такой сети по их заявкам заверенную копию лицензии организатора сети с указанием их наименования и юридического адреса. Вместе с тем наличие подобной лицензии или ее копии не освобождает организатора сети и пользователей его корпоративной сети от необходимости получения отдельных лицензий на право эксплуатации иных средств криптографической защиты информации.

2. Для создания соответствующих условий осуществления лицензируемой деятельности заявитель вправе приобрести у изготовителя или его представителя опытную партию сертифицированных средств криптографической защиты информации, а также комплект необходимой технической или эксплуатационной документации до получения лицензии.

3. Вместо представления органа Государственной власти Российской Федерации заявитель в данном случае вправе представлять копию государственной лицензии на основной вид своей деятельности (например, копию банковской лицензии).

4. Специальная экспертиза заявителей на право установки, эксплуатации сертифицированных ФАПСИ шифровальных средств и предоставления услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, в корпоративных сетях типа “банк-клиент”, системах финансового и фондового рынка, предприятий, организаций и учреждений Российской Федерации при защите информации по уровню “С” проводится аттестационным центром на основании заявки и представленного заявителем перечня сведений, подтверждающих выполнение им требований ФАПСИ, а также условий действия сертификатов соответствия на эксплуатируемые шифровальные средства.

В настоящий момент ФАПСИ разработало несколько видов требований к предприятиям, претендующим на получение лицензии. Имеющиеся типовые требования конкретизируются и дифференцируются с учетом специфики отдельных видов деятельности и заявителей.

Требования к заявителю на право установки, эксплуатации сертифицированных ФАПСИ шифровальных средств и предоставления услуг по шифрованию информации при защите информации по уровню “С” формулируются следующим образом.

1. На предприятии-заявителе руководством должны быть выделены должностные лица, ответственные за разработку и практическое осуществление мероприятий по обеспечению функционирования и безопасности СКЗИ.

2. Вопросы обеспечения функционирования и безопасности СКЗИ должны быть отражены в специально разработанных документах, утвержденных руководством предприятия, с учетом эксплуатационной документации на СКЗИ.

3. На предприятии должны быть созданы условия, обеспечивающие сохранность конфиденциальной информации, доверенной предприятию юридическими и физическими лицами, пользующимися его услугами.

4. Размещение СКЗИ, специальное оборудование, охрана и режим в помещениях, в которых размещены СКЗИ (далее – помещения), должны обеспечивать безопасность информации, СКЗИ и шифрключей, сведение к минимуму возможности неконтролируемого доступа к СКЗИ, просмотра процедур работы с СКЗИ посторонними лицами.

5. Порядок допуска в помещения определяется внутренней инструкцией, которая разрабатывается с учетом специфики и условий функционирования конкретной структуры предприятия.

6. При расположении помещений на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п. окна оборудуются металлическими решетками, ставнями, охранной сигнализацией или другими средствами, препятствующими несанкционированному доступу в помещения. Эти помещения должны иметь прочные входные двери, на которые устанавливаются надежные замки.

7. Для хранения шифрключей, нормативной и эксплуатационной документации, установочных дискет помещения обеспечиваются металлическими шкафами (хранилищами, сейфами), оборудованными внутренними замками с двумя экземплярами ключей. Дубликаты ключей от хранилищ и входных дверей должны храниться в сейфе ответственного лица, назначаемого руководством предприятия.

8. Устанавливаемый руководителем предприятия порядок охраны помещений должен предусматривать периодический контроль технического состояния средств охранной и пожарной сигнализации и соблюдения режима охраны.

9. Размещение и установка СКЗИ осуществляются в соответствии с требованиями документации на СКЗИ.

10. Системные блоки ЭВМ с СКЗИ должны быть оборудованы средствами контроля их вскрытия.

11. Все поступающие для использования шифрключи и установочные дискеты должны браться на предприятии на поэкземплярный учет в выделенных для этих целей журналах.

12. Учет и хранение носителей шифрключей и установочных дискет, непосредственная работа с ними поручается руководством предприятия специально выделенным для этого работникам, которые несут персональную ответственность за сохранность шифрключей.

13. Учет изготовленных для пользователей шифрключей, регистрация их выдачи для работы, возврата от пользователей и уничтожения ведутся на предприятии.

14. Хранение шифрключей, установочных дискет допускается в одном хранилище с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное, не предусмотренное правилами пользования СКЗИ, применение. Наряду с этим должна быть предусмотрена возможность раздельного безопасного хранения рабочих и резервных шифрключей, предназначенных для использования в случае компрометации рабочих шифрключей в соответствии с правилами пользования СКЗИ.

15. При пересылке шифрключей клиентам предприятия должны быть обеспечены условия транспортировки, исключающие возможность физических повреждений и внешнего воздействия на записанную ключевую информацию.

16. В случае отсутствия у оператора СКЗИ индивидуального хранилища
шифрключи по окончании рабочего дня должны сдаваться лицу, ответственному за их хранение.

17. Уполномоченными лицами периодически должен проводиться контроль сохранности входящего в состав СКЗИ оборудования, а также всего используемого программного обеспечения для предотвращения внесения программно-аппаратных закладок и программ-вирусов.

18. К работе с СКЗИ допускаются решением руководства предприятия только сотрудники, знающие правила его эксплуатации, владеющие практическими навыками работы на ЭВМ, изучившие правила пользования, эксплуатационную документацию и прошедшие обучение работе с СКЗИ.

19. Руководитель предприятия или лицо, уполномоченное на руководство заявленными видами деятельности, должно иметь представление о возможных угрозах безопасности информации при ее обработке, передаче, хранении, а также методах и средствах защиты информации.