Нормативная база в области криптографической защиты информации

В результате изучения данной главы студент должен: знать

• •действующие федеральные законы Российской Федерации в области защиты информации;
• •национальные стандарты Российской Федерации в области криптографической защиты информации;
• •действующую классификацию средств криптографической защиты информации; уметь
• •применять на практике положения законов Российской Федерации и ведомственных нормативных актов в области защиты информации;
• •проводить оценку соответствия действующих средств криптографической защиты информации требованиям действующих нормативных актов;

владеть

•навыками реализации действующих стандартов в области защиты информации.

В настоящей главе рассматриваются вопросы правового регулирования и стандартизации в области криптографической защиты информации.

Федеральные законы

Прежде всего следует отметить, что специального федерального закона, устанавливающего нормативную базу в области криптографической защиты информации, в России в настоящее время не принято. Отдельные вопросы по данному направлению отражены в федеральных законах «О безопасности¹», «О государственной тайне²», «Об информации, информационных технологиях и защите.

'Федеральный закон от 28.12.2010 г., N 390-ФЗ «О безопасности».

^Федеральный закон от 21.07.1993 N 5485−1 «О государственной тайне» (в последней редакции от 08.03.2015 г., N 23-ФЗ).

информации³", «О Федеральной службе безопасности⁴» и в ряде ведомственных нормативных актов. Согласно действующим нормативным докумен там функции руководителя, координатора деятельности, а также органа, уполномоченного в области лицензирования и сертификации криптографических средств защиты информации, возложены па ФСБ России.

В соответствии со статьей 5 закона Российской Федерации «О государственной тайне» сведения о шифрах, о разработке, об изготовлении шифров и обеспечении ими, о методах и средствах анализа шифровальных средств и средств специальной защиты, об информационно-аналитических системах специального назначения, сведения о методах и средствах защиты секретной информации составляют государственную тайну. Данное обстоятельство существенно ограничивает возможности проведения открытых исследований и получения новых результатов в области криптографии.

Тем не менее криптографические средства защиты информации в настоящее время являются одной их самых эффективных мер обеспечения информационной безопасности и нашли широкое применение как в государственных, так и в коммерческих организациях для обеспечения целостности, конфиденциальности и подтверждения подлинности информации, составляющей коммерческую, медицинскую и т. д. тайну.

Одновременно стоит отметить появление ряда законов, устанавливающих правовые отношения в области жизнедеятельности человека, существенно связанной со средствами защиты информации. К таким законам можно отнести закон «Об электронной подписи⁵», а также закон «О персональных данных⁶».

Закон «Об электронной подписи» регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, а также при совершении иных юридически значимых действий.

Федеральный закон от 27.07.2006 г., N 149-ФЗ «Об информации, информационных технологиях и защите информации» (в последней редакции от 13.07.2015 г., N 264-ФЗ).

Федеральный закон от 03.04.1995 N 40-ФЗ «О Федеральной службе безопасности» (в последней редакции от 22.12.2014, N 446-ФЗ).

Федеральный закон от 06.04.2011 N 63-ФЗ «Об электронной подписи» (в последней редакции от 30.12.2015, N 445-ФЗ).

‘'Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (в последней редакции от 21.07.2014, N 216-ФЗ).

Видами электронных подписей, отношения в области использования которых регулируются законом «Об электронной подписи», являются простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись (далее — неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (далее — квалифицированная электронная подпись).

Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Неквалифицированной электронной подписью является электронная подпись, которая:

• 1. получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
• 2. позволяет определить лицо, подписавшее электронный документ;
• 3. позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
• 4. создается с использованием средств электронной подписи.

Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:

• 1. ключ проверки электронной подписи указан в квалифицированном сертификате (открытого ключа электронной подписи);
• 2. для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с законом «Об электронной подписи».

Описанный нами ранее в разделе 11.2.1 национальный стандарт ГОСТ Р 34.10−2012 позволяет выработать квалифицированную электронную подпись (при условии, что открытый ключ подписи будет размещен в сертификате, заверенным аккредитованным удостоверяющим центром).

Стоит обратить внимание на то, что закон «Об электронной подписи» в 6-й статье содержит условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью. Это позволяет рассматривать квалифицированную электронную подпись, выработанную сертифицированным средством электронной подписи, как равнозначный аналог собственноручной подписи, имеющий такую же юридическую значимость.

Другим законом, обязывающим человека в своей деятельности использовать средства защиты информации, является закон «О персональных данных». Данным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации (ПЭВМ) или без использования таких средств, позволяющей осуществить доступ и поиск персональных данных, зафиксированных на материальном носителе и/или содержащихся в картотеках или иных систематизированных собраниях персональных данных.

Закон «О персональных данных» в 19-й статье предписывает ряд мер по обеспечению безопасности персональных данных при их обработке, храпении и предоставлении доступа.

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Обеспечение безопасности персональных данных достигается, в частности:

• 1. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных (модель угроз строится оператором, обрабатывающим персональные данные, до момента их защиты);
• 2. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных; персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• 3. применением прошедших в установленном порядке процедуру оценки соответствия (сертификацию) средств защиты информации;
• 4. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (оценка эффективности должна проводиться оператором, обрабатывающим персональные данные);
• 5. учетом машинных носителей персональных данных;
• 6. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, обеспечивающих прекращение несанкционированного доступа в дальнейшем;
• 7. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• 8. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных (аутентификацией всех субъектов, желающих получить доступ), а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• 9. контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Таким образом, закон «О персональных данных» предписывает меры, которые необходимо принимать для защиты персональных данных, в частности, с использованием средств защиты информации для защиты, контроля целостности хранимых данных, а также аутентификации доступа к ним. Соответствующая детализация мер по криптографической защите персональных данных приводится в ведомственных нормативных документах.