ФСБ РФ в пределах своей компетенции осуществляет, в частности, функции по:
– созданию системы сертификации и установлению правил проведения сертификации;
– представлению на государственную регистрацию в Госстандарт РФ системы сертификации СЗИ-ГТ и ее знаки соответствия;
– организации функционирования системы сертификации;
– определению номенклатуры СЗИ-ГТ;
– установлению правил аккредитации и выдачи лицензий на проведение работ по сертификации;
– утверждению нормативных документов, на соответствие которым проводится сертификация СЗИ-ГТ в системе сертификации, и методических документов по проведению сертификационных испытаний.
– ведению государственного реестра сертифицированных средств защиты информации, аккредитованных в системе сертификации СЗИ-ГТ, органов по сертификации и испытательных центров (лабораторий), других участников сертификации, а также выданных и аннулированных сертификатов соответствия и лицензий на применение знака соответствия.
Органы по сертификации СЗИ-ГТ в пределах установленной области аккредитации, в частности:
– проводят идентификацию средств защиты информации;
– определяют схему сертификации конкретных средств защиты;
– разрабатывают предложения по номенклатуре СЗИ-ГТ;
– оформляют экспертное заключение по сертификации СЗИ-ГТ, сертификаты соответствия и лицензии на применение знака соответствия и представляют их в ФСБ РФ для регистрации в государственном реестре;
– выдают сертификаты соответствия и лицензии на применение знака соответствия;
– представляют заявителю перечень испытательных центров (лабораторий), в которых могут проводиться испытания конкретного СЗИ-ГТ;
– приостанавливают либо отменяют действие выданных сертификатов соответствия и лицензий на применение знака соответствия.
Испытательные центры (лаборатории) в пределах установленной области аккредитации, в частности:
– разрабатывают, утверждают программы и методики проведения сертификационных испытаний;
– осуществляют отбор образцов СЗИ-ГТ для проведения сертификационных испытаний;
– осуществляют сертификационные и инспекционные испытания СЗИ-ГТ, оформляют технические заключения и протоколы сертификационных испытаний;
– обеспечивают сохранность образцов СЗИ-ГТ и конфиденциальность информации.
Учебно-методический центр:
– осуществляет подготовку, переподготовку и повышение квалификации кадров;
– осуществляет подготовку и аттестацию экспертов;
– участвует в разработке и совершенствовании нормативных и методических документов в системе сертификации СЗИ-ГТ.
Заявители (разработчики, изготовители, продавцы) должны иметь лицензию на соответствующий вид деятельности и обязаны, в частности:
– применять сертификат и знак соответствия СЗИ-ГТ, руководствуясь правилами системы сертификации;
– указывать в сопроводительной технической документации сведения о сертификате на СЗИ-ГТ, обеспечивать доведение этой информации до потребителя;
– принимать меры для обеспечения стабильности характеристик СЗИ-ГТ, определяющих безопасность информации;
– извещать орган по сертификации, проводивший сертификацию, обо всех изменениях в технологии, конструкции (составе) сертифицированного СЗИ-ГТ и технической документации на него для принятия решения о необходимости проведения повторной сертификации данного СЗИ-ГТ.
Органы по сертификации и испытательные центры (лаборатории) должны быть юридическими лицами, располагать подготовленными специалистами, необходимыми средствами измерений, испытательным оборудованием и методиками испытаний, нормативными документами для проведения всего комплекса работ по испытаниям СЗИ-ГТ в своей области аккредитации.
Проведению сертификации предшествует подача заявки на сертификацию, осуществляемая заявителем. Заявка с указанием схемы проведения сертификации, государственных стандартов и иных нормативно-методических документов направляется в орган по сертификации, который обязан в десятидневный срок передать копию заявки на проведение сертификации продукции в ФСБ РФ.
В месячный срок после получения заявки орган по сертификации СЗИ-ГТ направляет заявителю решение на проведение сертификации, в котором указывается перечень испытательных центров, область аккредитации которых позволяет проводить сертификационные испытания данного СЗИ-ГТ.
После получения решения заявитель представляет средство защиты в испытательный центр или (в отдельных случаях) в орган по сертификации. Сроки проведения испытаний могут быть установлены в договоре между заявителем и испытательным центром.
Результаты испытаний оформляются протоколами и техническим заключением, которые направляются органу по сертификации и заявителю.
Орган по сертификации проводит экспертизу результатов испытаний и готовит экспертное заключение. При соответствии результатов испытаний требованиям нормативных документов данный орган оформляет сертификат соответствия и лицензию на применение знака соответствия, которые вместе с копией экспертного заключения направляет в ФСБ РФ для регистрации в государственном реестре. Срок действия сертификата соответствия устанавливается не более чем на пять лет.
Заявителю сертификат соответствия и лицензия на применение знака соответствия выдаются после их регистрации в государственном реестре системы сертификации СЗИ-ГТ.
Инспекционный контроль за сертифицированными СЗИ-ГТ осуществляет орган по сертификации, проводивший сертификацию с привлечением в случае необходимости испытательного центра.
Глава XI
Правовые вопросы обеспечения информационной безопасности
Дополнительная литература
Бачило И. Л. Методология решения правовых проблем в области информационной безопасности // Информатика и вычислительная техника. 1992. № 2–3; Волокитин А. В., Копылов В. А. Информационная безопасность и информационное законодательство // Сборник научно-технической информации. Сер. 1 1996. № 7; Фатьянов А. А. Концептуальные основы обеспечения безопасности на современном этапе // Безопасность информационных технологий. 1999. № 1. С. 26–40; Ярочкин В. И. Информационная безопасность. Учебное пособие. М., 2000; Бачило И. П., Лопатин В. И., Федотов М. А. Информационное право: Учебник/ Под ред. акад. Б. Н. Топорнина. СПб. 2001. С. 408–480; Копылов В. А. Информационное право: Учебник. М., 2002. С. 218–231.
§ 1. Понятие информационной безопасности, основные задачи и методы ее обеспечения
Понятие информационной безопасности. Понятие информационной безопасности в российской юридической терминологии не является устоявшимся по причине отсутствия единого методологического основания, на базе которого только и могут быть определены его сущность, степень необходимости использования и границы применения. К сожалению, это методологическое основание до сих пор не выработано, что отчетливо проявляется не только в обсуждении понятия информационной безопасности на страницах учебных и научных изданий, но и в текстах официальных документов, в том числе нормативных актов[198].
Легальное определение информационной безопасности сформулировано в ст. 2 Федерального закона «Об участии в международном информационном обмене», согласно которой это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства[199].
Данное определение со значительными содержательными изменениями получило развитие в Доктрине информационной безопасности Российской Федерации (далее – Доктрина), являющейся совокупностью официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности государства. В соответствии с п. 1 Доктрины под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства[200].
В основу доктринального определения информационной безопасности, равно как и легального, положено родовое понятие безопасности, как «состояния защищенности», закрепленное в Законе РФ «О безопасности»[201]. На этом, собственно, сходство двух приведенных определений информационной безопасности и заканчивается, поскольку в легальной формулировке речь идет о защищенности информационной среды (сферы) в интересах граждан и государства, а в доктринальной – о защищенности национальных интересов в информационной сфере. Таким образом, уже в самом выборе объекта защиты кроются противоречия, хотя с формально-юридических позиций в этом качестве должна выступать информационная среда, под которой понимают сферу деятельности субъектов, связанную с созданием, использованием, преобразованием и потреблением информации. С другой стороны, доктринальная формула объекта защиты соответствует родовому объекту, идентифицированному в Законе РФ «О безопасности» как «жизненно важные интересы». Учитывая роль и значимость Доктрины, следует признать, что дальнейшее использование и развитие понятия информационной безопасности будет происходить в заданном этим документом направлении, хотя оно и наиболее проблемно, поскольку требует ответа на не найденный до сих пор несколькими поколениями ученых вопрос. Этот вопрос, коль скоро речь идет об объекте защиты, в качестве которого полагаются национальные интересы, определяющиеся совокупностью сбалансированных интересов личности, общества и государства, состоит в определении баланса интересов отдельной личности и общества в целом. Ведь то, что отвечает интересам отдельного индивида, не всегда отвечает интересам общества в целом; и наоборот, то, что соответствует интересам всего общества, может явно противоречить интересу отдельного индивида.