Мировой
опыт показывает, что существует только один способ однозначного определения
объекта регулирования в области защиты информации: производится по следующей
схеме:
Деятельностью в
области защиты информации является:
-
Разработка нормативных документов по защите информации
-
Осуществление мероприятий по защите информации
-
Разработка систем и средств защиты информации
-
Производство систем и средств защиты информации
-
Распространение систем и средств защиты информации
-
Эксплуатация систем и средств защиты информации
-
Сопровождение и обслуживание систем и средств защиты
информации
-
Оказание услуг по защите информации
-
Обучение в области защиты
информации
Деятельность по
защите информации, содержащей сведения, составляющую государственную тайну
подлежит обязательному лицензированию, за исключением деятельности по обучению в
области защиты информации.
Лицензирование
деятельности по защите информации, содержащей сведения, составляющие
государственную тайну, осуществляется уполномоченными, государственными органами
в пределах их компетенции, определяемой законами и иными нормативными актами.
Деятельность по
защите конфиденциальной информации лицензированию не
подлежит.
При защите
конфиденциальной информации собственник информации вправе сам вести деятельность
по защите информации, совместно с иными лицами или перепоручать ее иному
лицу.
Деятельность по
защите открытой информации лицензированию не подлежит.
Тем не менее, в
новой редакции закона О лицензировании отдельных видов деятельности
предусмотрено лицензирование следующих видов деятельности, связанных с защитой
информации шифровальными средствами:
-
деятельность по распространению шифровальных
(криптографических) средств;
-
деятельность по техническому обслуживанию шифровальных
криптографических) средств;
-
предоставление услуг в области шифрования информации;
-
разработка,
производство шифровальных средств, защищенных с использованием шифровальных
(криптографических) средств информационных систем, систем и комплексов
телекоммуникаций.
Определения шифровальных средств в российских нормативных документах пока
нет. По существу использования термина в законе О федеральных органах
правительственной связи и информации он подразумевает шифровальную технику,
применяемую для защиты важной информации в сетях правительственной,
шифрованной, засекреченной или другой специальной связи.
Именно в таком смысле,
как легко убедиться, употребляет его в этом законе
законодатель.
Однако, это совсем не
устраивает ФАПСИ. Агентство всеми силами пытается протолкнуть в нормативные
документы максимально расширительное толкование термина.
Так, в некоторых своих
разъяснениях служба лицензирования ФАПСИ ссылается на то, что термин шифрование
определен в примечаниях в старому стандарту шифрования данных СССР ГОСТ
28147-89. Однако, это весьма жалкая попытка.
Определения терминов в примечаниях к стандарту
ГОСТ28147-89 приводят к порочному кругу:
Шифрование определяется через Шифр,
Шифр - через Ключ,
Ключ - через Криптографическое преобразование,
Криптографическое преобразование - снова через Шифрование.
Круг
замкнулся.
Как
следует из правил логики, из порочного круга определений можно вывести любое
утверждение и его отрицание.
То
есть эти определения не определяют ничего.
Точно
также, как выше СКЗИ определялись через СКЗИ.
Таким
образом, точного определения понятий шифровальные средства, равно как и ,
криптографические средства в настоящее время не существует.
Во избежание в
дальнейшем огромного количества злоупотреблений, которые имели место в данной
области за последние 6 лет следует определить объект лицензирования строго и
однозначно. И конечно же, исключить из него такие нелепости, как отнесение к
шифровальным средствам электронной подписи, которая никак не изменяет исходную
информацию.
Именно от этого и
попытается уклониться ФАПСИ всеми доступными
средствами.
Можно, например,
отнести к шифровальным средствам все те устройства, которые реализуют стандарт
ГОСТ 28147-89 или другие государственные стандарты шифрования или
рекомендованные ФАПСИ агоритмы шифрования и сертифицированы ФАПСИ.
Это полностью
согласуется с типовыми требованиями ФАПСИ к лицензиатам. В этих требованиях по
существу заложено отрицание возможности существования чисто программных
шифровальных средств. Требуется как минимум обязательная защита от перехвата
информации по электромагнитным излучениям, специальные меры по защите от съема
информации по побочным каналам (электропитание и т.п.), специальные меры
контроля за исправностью устройства, реализующего преобразование информации и т.
д. То есть все те строгие требования, которые обычно предъявляются к
шифровальной технике в системах правительственной или шифрованной связи гос.
органов. Это и была на тот момент официальная позиция ФАПСИ.
Только
жгучее желание захватить рынок гражданских средств криптографической защиты
информации массового применения и , особенно, средств цифровой аутентификации
(подписи) электронных документов под свой контроль заставляет их юлить и
изворачиваться для максимального расширения подконтрольной им области
информационных технологий.