Либертариум Либертариум

Мировой опыт показывает, что существует только один способ однозначного определения объекта регулирования в области защиты информации: производится по следующей схеме:

Деятельностью в области защиты информации является:

  1. Разработка нормативных документов по защите информации
  2. Осуществление мероприятий по защите информации
  3. Разработка систем и средств защиты информации
  4. Производство систем и средств защиты информации
  5. Распространение систем и средств защиты информации
  6. Эксплуатация систем и средств защиты информации
  7. Сопровождение и обслуживание систем и средств защиты информации
  8. Оказание услуг по защите информации
  9. Обучение в области защиты информации

Деятельность по защите информации, содержащей сведения, составляющую государственную тайну подлежит обязательному лицензированию, за исключением деятельности по обучению в области защиты информации.

Лицензирование деятельности по защите информации, содержащей сведения, составляющие государственную тайну, осуществляется уполномоченными, государственными органами в пределах их компетенции, определяемой законами и иными нормативными актами.

Деятельность по защите конфиденциальной информации лицензированию не подлежит.

При защите конфиденциальной информации собственник информации вправе сам вести деятельность по защите информации, совместно с иными лицами или перепоручать ее иному лицу.

Деятельность по защите открытой информации лицензированию не подлежит.

Тем не менее, в новой редакции закона О лицензировании отдельных видов деятельности предусмотрено лицензирование следующих видов деятельности, связанных с защитой информации шифровальными средствами:

  • деятельность по распространению шифровальных (криптографических) средств;
  • деятельность по техническому обслуживанию шифровальных криптографических) средств;
  • предоставление услуг в области шифрования информации;
  • разработка, производство шифровальных средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, систем и комплексов телекоммуникаций.

Определения шифровальных средств в российских нормативных документах пока нет. По существу использования термина в законе О федеральных органах правительственной связи и информации он подразумевает шифровальную технику, применяемую для защиты важной информации в сетях правительственной, шифрованной, засекреченной или другой специальной связи.

Именно в таком смысле, как легко убедиться, употребляет его в этом законе законодатель.

Однако, это совсем не устраивает ФАПСИ. Агентство всеми силами пытается протолкнуть в нормативные документы максимально расширительное толкование термина.

Так, в некоторых своих разъяснениях служба лицензирования ФАПСИ ссылается на то, что термин шифрование определен в примечаниях в старому стандарту шифрования данных СССР ГОСТ 28147-89. Однако, это весьма жалкая попытка.

Определения терминов в примечаниях к стандарту ГОСТ28147-89 приводят к порочному кругу:

Шифрование определяется через Шифр,
Шифр - через Ключ,
Ключ - через Криптографическое преобразование,
Криптографическое преобразование - снова через Шифрование.

Круг замкнулся.

Как следует из правил логики, из порочного круга определений можно вывести любое утверждение и его отрицание.

То есть эти определения не определяют ничего.

Точно также, как выше СКЗИ определялись через СКЗИ.

Таким образом, точного определения понятий шифровальные средства, равно как и , криптографические средства в настоящее время не существует.

Во избежание в дальнейшем огромного количества злоупотреблений, которые имели место в данной области за последние 6 лет следует определить объект лицензирования строго и однозначно. И конечно же, исключить из него такие нелепости, как отнесение к шифровальным средствам электронной подписи, которая никак не изменяет исходную информацию.

Именно от этого и попытается уклониться ФАПСИ всеми доступными средствами.

Можно, например, отнести к шифровальным средствам все те устройства, которые реализуют стандарт ГОСТ 28147-89 или другие государственные стандарты шифрования или рекомендованные ФАПСИ агоритмы шифрования и сертифицированы ФАПСИ.

Это полностью согласуется с типовыми требованиями ФАПСИ к лицензиатам. В этих требованиях по существу заложено отрицание возможности существования чисто программных шифровальных средств. Требуется как минимум обязательная защита от перехвата информации по электромагнитным излучениям, специальные меры по защите от съема информации по побочным каналам (электропитание и т.п.), специальные меры контроля за исправностью устройства, реализующего преобразование информации и т. д. То есть все те строгие требования, которые обычно предъявляются к шифровальной технике в системах правительственной или шифрованной связи гос. органов. Это и была на тот момент официальная позиция ФАПСИ.

Только жгучее желание захватить рынок гражданских средств криптографической защиты информации массового применения и , особенно, средств цифровой аутентификации (подписи) электронных документов под свой контроль заставляет их юлить и изворачиваться для максимального расширения подконтрольной им области информационных технологий.

Комментарии (3)

  • Новый закон о лицензировании.

    Неплохой анализ, но страдающий нелогичностью, и в самом начале.
    Сравним первое высказывание:
    > Деятельность по защите информации, содержащей сведения, составляющую государственную тайну
    подлежит обязательному лицензированию

    Со вторым:
    > При защите конфиденциальной информации собственник информации вправе сам вести деятельность по защите информации, совместно с иными лицами или перепоручать ее иному лицу.

    И теперь вопрос: прекрасно видно, что второе высказывание для случая Государства выглядит следующим образом: "При защите государственной тайны государственный орган, ответственный за ее сохранение, вправе сам вести деятельность по защите информации, совместно с иными лицами или перепоручать ее иному лицу." Логично? Тогда, скажите, зачем приплетать сюда лицензирование???
    Зачем создавать лишние сущности? Лишние бюрократические структуры и пирамиды безответственных работников госаппарата?
    Я сейчас не говорю о правовой стороне дела, а только -- о разумности и экономичности. В конечном счете -- об эффективности. Вы (вместе с Государством) предлагаете, чтобы одна организация хранила гостайны с помощью третьего лица, которое первому ничего не обещало, а заплатила и показалась третьей организации (лицензиару), которое не ответственно перед первым, как и вообще ни перед кем...
    Если лопнет эта защита, кто будет отвечать: Хранитель тайны? Нет. Он использовал лицензированный, якобы проверенный, продукт (я надеюсь, Вы не путаете сертификацию и лицензирование?). Будет отвечать Лицензиар? Ни в коей мере. Он-то тут причем? Лицензиары ни за что не отвечают, они только права передают (им не принадлежащие, кстати) и деньги получают за эту работу. Лицензиат? У него все тип-топ -- все бумаги в порядке и голограммы отсвечивают...
    Кто отвечать будет? Правильно -- некто, показавщий нестойкость защиты, а те, кто сваял эту "туфту", кто им разрешил это сделать, кто ее применял -- останутся белыми и пушистыми...
    Вот Вам и все лицензирование... Когда я слышу этот термин, моя рука тянется к револьверу... :)
    Свобода, либертарианство, если хотите, и государственное лицензирование деятельности -- несовместимы. Пора уж выбрать, господа...

  • Новый закон о лицензировании.

    Не готов с Вами согласиться во всем, уважаемый kenq. Дело в том, что государтсвенные организации, в т.ч. органы власти наделены достаточно большой самостоятельностью. Поэтому, для обеспечения "солидарности в проведении технической политики (в т.ч. и в области защиты)" имеет смысл оставить некоторые механизмы регулирования. Например лицензирование или сертификацию на соответствие стандартам или что-то еще. Суть моих комментариев, в том, что государство не должно вмешиваться с рекомендациями по защите информации в те сферы, которые не имеют отношения к информации государственной.

  • Новый закон о лицензировании.

    > государственные организации, в т.ч. органы власти наделены достаточно большой самостоятельностью. Поэтому, для обеспечения "солидарности в проведении технической политики (в т.ч. и в области защиты)" имеет смысл оставить некоторые механизмы регулирования. Например лицензирование или сертификацию на соответствие стандартам или что-то еще. Суть моих комментариев, в том, что государство не должно вмешиваться с рекомендациями по защите информации в те сферы, которые не имеют отношения к информации государственной.

    С последним ("государство не должно вмешиваться") -- согласен.

    > Не готов с Вами согласиться во всем
    Так в чем же Вы со мной не соглашаетесь?
    Я говорил о том, что госудаственные органы вполне могут существовать в рамках правового поля для других, негосударственных субъектов. Единые "правила игры" для всех без изъятий -- логично? Вы же сами говорите о некоторой "самостоятельности"...

    А вот "для обеспечения "солидарности в проведении технической политики (в т.ч. и в области защиты)" имеет смысл оставить некоторые механизмы регулирования" -- очень, для органов Государства, согласен. Только вот причем здесь законодательство (единое для всех)?
    Если так необходимо обеспечить единообразие в государственных структурах -- достаточно Постановлений Правительства и ведомственных норм, не затрагивающих остальных, не относящихся к Государству... Здесь тоже все логично? Или нет?

Московский Либертариум, 1994-2020