Для устранения этого недостатка Межведомственная комиссия осуществляет интеграцию, предусматривающую реализацию единой научно-технической политики по комплексной защите информации на всех уровнях управления силами Гостехкомиссии России. Таким образом, данная государственная система защиты информации осуществляет:
– координацию деятельности органов и организаций в области защиты информации, обрабатываемой техническими средствами;
– организационно-методическое руководство этой деятельностью, включая утверждение нормативно-технической документации;
– разработку и финансирование научно-технических программ по созданию средств защиты информации;
– лицензирование деятельности предприятий по оказанию услуг в этой области;
– функции государственного органа по сертификации продукции по требованиям безопасности информации.
Государственная система защиты информации дополняется системой контроля защищенности информации в лице уполномоченных государством органов (Гостехкомиссией РФ), осуществляющих обязательный контроль за выполнением требований по защите информации, являющейся собственностью государства. Такие контрольные органы могут предоставлять для собственников негосударственной конфиденциальной информации услуги по оценке соответствия уровня защищенности этой информации установленным требованиям, о чем подробно написано в главе 19.
Необходимость существования государственной системы защиты информации и соответствующих организационных структур подтверждается не только в условиях так называемой административно-командной системы, но и в странах с развитыми рыночными отношениями. Зарождающаяся правовая основа защиты информации, приобретающая особенно большое значение в условиях сосуществования различных форм собственности, может опираться только на конкретные организационные структуры, осуществляющие законотворческую деятельность и являющиеся базой механизма реализации законов. Нельзя забывать, что и органы юстиции, являющиеся неотъемлемой принадлежностью любого государства, в случае противоправной деятельности по отношению к информации, должны опираться на определенные организационные структуры.
Важными элементами государственной системы защиты информации являются подсистемы лицензирования деятельности предприятий по оказанию услуг в области защиты информации и сертификации средств защиты информации. Функционирование указанных систем должно стимулировать разработку и внедрение современных, высококачественных технических средств и защитить потребителя продукции и услуг от недобросовестной работы исполнителя.
3.3. Система лицензирования
Система лицензирования направлена на создание условий, при которых право заниматься работами по защите информации для стороннего заказчика предоставлено только организациям, имеющим на этот вид деятельности соответствующее разрешение (лицензию). Это диктуется тем обстоятельством, что государственным и, в конечном счете, коммерческим структурам необходима доброкачественная продукция, действительно обеспечивающая защиту информации.
Система лицензирования в области защиты информации в настоящее время основана на Законе "О государственной тайне"; Положениях "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" и "О государственном лицензировании деятельности в области защиты информации".
В Законе "О государственной тайне" (ст. 27) вводится новая правовая норма – обязательное лицензирование деятельности предприятий, учреждений и организаций при их допуске к выполнению работ, связанных с использованием сведений, составляющих государственную тайну; к созданию средств защиты информации, а также к осуществлению мероприятий и оказанию услуг по защите государственной тайны.
Организационную структуру системы государственного лицензирования образуют:
– государственные органы по лицензированию;
– лицензионные центры;
– предприятия, претендующие на получение лицензии;
– предприятия-потребители услуг и продукции.
Следует отметить, что указанный пакет документов предусматривает в качестве обязательного условия функционирование этой системы на предприятиях государственного сектора, которая в то же время может быть использована по желанию потребителя и на предприятиях с другими формами собственности.
Согласно положениям, предприятие-заявитель, претендующее на получение лицензии, может обратиться с соответствующей заявкой в любой из лицензионных центров по отраслевому или региональному признаку и после обследования, проведенного экспертной комиссией, учитывающей техническую оснащенность предприятия-заявителя, опыт практической работы и готовность персонала, наличие нормативно-технических документов в выбранном направлении деятельности, получить лицензию на право оказания услуг сторонним предприятиям в этой области. При этом закрепляется также положение об обязательной государственной аттестации руководителей предприятий, ответственных за защиту сведений, составляющих государственную тайну.
Следует отметить, что на проведение работ по защите информации в собственных нуждах приобретение лицензии не требуется.
3.4. Система сертификации
Под сертификацией продукции на требования безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа-сертификата и знака соответствия с определенной степенью достоверности подтверждается, что продукция соответствует требованиям стандартов по безопасности информации или иных нормативно-технических документов, утвержденных органом государственного управления в этой области (в настоящее время Гостехкомиссией РФ).
Система предусматривает сертификацию технических, программно-технических, программных средств, систем, сетей вычислительной техники, как законченной научно-технической продукции, средств защиты и контроля эффективности защиты по требованиям безопасности информации.
Основные принципы, организационная структура системы сертификации продукции по требованиям безопасности информации, а также правила проведения сертификации этой продукции изложены в "Положении о сертификации средств защиты информации".
Положение о сертификации средств защиты определяет.
1) структуру, взаимоотношения и права организаций, специализирующихся в области защиты информации;
2) необходимый комплекс сведений при решении двух практических задач, организации сертификации разработанных средств защиты; целесообразности заключения договоров о разработке и покупке средств защиты информации.
Система сертификации продукции по требованиям безопасности информации направлена на: обеспечение прав собственника и владельца информации (владельца автоматизированной системы); сохранение в тайне информации, обрабатываемой средствами вычислительной техники; исключение несанкционированного ее искажения или уничтожения; поддержание АС в управляемом состоянии. Она призвана обеспечить потребителям средств вычислительной техники (СВТ) и АС безопасную обработку любой конфиденциальной или иной ценной информации.
В то же время при реализации эта система требует объективности и независимости проведения испытаний образцов продукции и экспертизы результатов таких испытаний. Это возможно при выполнении следующих условий: наличия постоянного совершенствования нормативно-технических документов, определяющих требования к характеристикам защищенности продукции, использования в процессе испытаний сертифицированных тестовых средств при строгом соблюдении предписанных правил и процедур.
Следует отметить, что и в вопросах сертификации продукции в целом, в сертификации СВТ по требованиям безопасности информации мы значительно отстали от развитых зарубежных стран. В США, например, для обработки секретной и несекретной информации правительственных ведомств и фирм-подрядчиков Пентагона используется только сертифицированная по требованиям безопасности национальных стандартов программно-техническая продукция. В этих целях публикуются соответствующие каталоги защищенных СВТ, и на рынок поставляются серийные защищенные изделия.
3.5. Страхование информационных систем
Все более широкие слои общества пользуются услугами сберегательного банка, коммерческих банков, инвестиционных фондов, трастовых компаний, финансово-промышленных групп и других государственных и частных финансово-кредитных организаций. Для удовлетворения возрастающих потребностей общества в услугах финансовые учреждения постоянно совершенствуют свою работу в части внедрения современных технических и программных средств вычислительной техники, информационных систем и коммуникационных сетей передачи информации.