Законодательный уровень информационной безопасности

Другие законы и нормативные акты

Мы продолжим наш обзор Законом "О лицензировании отдельных видов деятельности" от 4 мая 2011 года номер 99-ФЗ. Начнем с основных определений.

Лицензия - специальное разрешение на право осуществления юридическим лицом или индивидуальным предпринимателем конкретного вида деятельности (выполнения работ, оказания услуг, составляющих лицензируемый вид деятельности), которое подтверждается документом, выданным лицензирующим органом на бумажном носителе или в форме электронного документа, подписанного электронной подписью, в случае, если в заявлении о предоставлении лицензии указывалось на необходимость выдачи такого документа в форме электронного документа.

Лицензируемый вид деятельности - вид деятельности, на осуществление которого на территории Российской Федерации и на иных территориях, над которыми Российская Федерация осуществляет юрисдикцию в соответствии с законодательством Российской Федерации и нормами международного права, требуется получение лицензии в соответствии с Федеральным законом "О лицензировании отдельных видов деятельности", в соответствии с федеральными законами, указанными в части 3 статьи 1 Федерального закона " О лицензировании отдельных видов деятельности" и регулирующими отношения в соответствующих сферах деятельности.

Лицензирование - деятельность лицензирующих органов по предоставлению, переоформлению лицензий, продлению срока действия лицензий в случае, если ограничение срока действия лицензий предусмотрено федеральными законами, осуществлению лицензионного контроля, приостановлению, возобновлению, прекращению действия и аннулированию лицензий, формированию и ведению реестра лицензий, формированию государственного информационного ресурса, а также по предоставлению в установленном порядке информации по вопросам лицензирования.

Лицензирующие органы - уполномоченные федеральные органы исполнительной власти и (или) их территориальные органы, а в случае передачи осуществления полномочий Российской Федерации в области лицензирования органам государственной власти субъектов Российской Федерации органы исполнительной власти субъектов Российской Федерации, осуществляющие лицензирование.

Лицензиат - юридическое лицо или индивидуальный предприниматель, имеющие лицензию.

Статья 12 Закона устанавливает перечень видов деятельности, на осуществление которых требуются лицензии. Нас будут интересовать следующие виды:

• разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
• деятельность по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
• разработка и производство средств защиты конфиденциальной информации;
• деятельность по технической защите конфиденциальной информации;

Важно отметить, что в соответствии с п4 статьи 9 лицензия действует бессрочно.

Важным с точки зрения защиты информации является Федеральный закон " Об электронной подписи " №63-ФЗ, принятый 6 апреля 2011 года. Данный Закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, в том числе в случаях, установленных другими федеральными законами.

Закон вводит следующие основные понятия:

Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;

Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи;

Квалифицированный сертификат ключа проверки электронной подписи - сертификат ключа проверки электронной подписи, соответствующий требованиям, установленным настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, и созданный аккредитованным удостоверяющим центром либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи;

Владелец сертификата ключа проверки электронной подписи - лицо, которому в установленном настоящим Федеральным законом порядке выдан сертификат ключа проверки электронной подписи;

Ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи;

Ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее - проверка электронной подписи);

Удостоверяющий центр - юридическое лицо, индивидуальный предприниматель либо государственный орган или орган местного самоуправления, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим Федеральным законом.

В Законе выделены следующие виды подписей:

• Простая электронная подпись - электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом
• Усиленная электронная подпись, которая в свою очередь может быть:
  • Усиленная неквалифицированная электронная подпись - электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа электронной подписи, позволяет определить лицо, подписавшее электронный документ и позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания. Должна создаваться с использованием средств электронной подписи.
  • Усиленная квалифицированная электронная подпись - электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам и следующим дополнительным условиям:
    • ключ проверки электронной подписи указан в квалифицированном сертификате;
    • для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.

В статье 6 Закона описаны условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью:

Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и может применяться в любых правоотношениях в соответствии с законодательством Российской Федерации, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.

Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных неквалифицированной электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать порядок проверки электронной подписи. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны соответствовать требованиям статьи 9 рассматриваемого Закона.

В Законе также рассматриваются полномочия федеральных органов исполнительной власти в сфере использования электронной подписи. По состоянию на 2020 год уполномоченным органом в сфере использования электронной подписи является Министерство связи и массовых коммуникаций Российской Федерации (Минкомсвязь). На сайте Минкомсвязи можно ознакомиться с перечнем нормативных документов в области регулирования использования электронной подписи.

Профили защиты ФСТЭК

В 2004 году в соответствии с Указом президента Гостехкомиссия России была преобразована в Федеральную службу по техническому и экспортному контролю Российской Федерации – ФСТЭК. ФСТЭК продолжила дело и стала создавать документы, описывающие профили защиты различных средств защиты.

В качестве примера рассмотрим профили защиты межсетевых экранов, разработанные в 2016 году. Межсетевые экраны делятся на пять типов:

• межсетевой экран уровня сети (тип "А") – межсетевой экран, применяемый на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы. Межсетевые экраны типа "А" могут иметь только программно-техническое исполнение;
• межсетевой экран уровня логических границ сети (тип "Б") – межсетевой экран, применяемый на логической границе (периметре) информационной системы или между логическими границами сегментов информационной системы. Межсетевые экраны типа "Б" могут иметь программное или программно-техническое исполнение;
• межсетевой экран уровня узла (тип "В") – межсетевой экран, применяемый на узле (хосте) информационной системы. Межсетевые экраны типа "В" могут иметь только программное исполнение и устанавливаются на мобильных или стационарных технических средствах конкретного узла информационной системы;
• межсетевой экран уровня веб-сервера (тип "Г") – межсетевой экран, применяемый на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов сервера). Межсетевые экраны типа "Г" могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от веб-сервера;
• межсетевой экран уровня промышленной сети (тип "Д") – межсетевой экран, применяемый в автоматизированной системе управления технологическими или производственными процессами. Межсетевые экраны типа "Д" могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию промышленных протоколов передачи данных.

Для дифференциации требований к функциям безопасности межсетевых экранов выделяются шесть классов защиты межсетевых экранов. Самый низкий класс – шестой, самый высокий – первый.

Межсетевые экраны в зависимости от класса защиты могут применяться в различных информационных системах. Так, например, межсетевые экраны, соответствующие 6 классу защиты, применяются в государственных информационных системах 3 и 4 классов защищенности, в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровней защищенности персональных данных. А межсетевые экраны, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

Для примера рассмотрим профиль защиты межсетевого экрана типа "В" 4 класса защиты.

В соответствии с профилем межсетевой экран - программное средство, реализующее функции контроля и фильтрации в соответствии с заданными правилами проходящих через него информационных потоков.

Должен обеспечивать нейтрализацию следующих угроз информационной безопасности:

• несанкционированный доступ к информации, содержащейся в информационной системе;
• отказ в обслуживании информационной системы и (или) ее отдельных компонентов;
• несанкционированная передача информации из информационной системы в информационно-телекоммуникационные сети или иные информационные системы;
• несанкционированное воздействие на МЭ, целью которого является нарушение его функционирования, включая преодоление или обход его функций безопасности.

В межсетевом экране должны быть реализованы следующие функции безопасности:

• контроль и фильтрация;
• идентификация и аутентификация;
• регистрация событий безопасности (аудит);
• обеспечение бесперебойного функционирования и восстановление;
• тестирование и контроль целостности;
• управление (администрирование);
• взаимодействие с другими средствами защиты информации.

Интересно, что в Профиле защиты есть прямые ссылки на уже знакомые нам "Общие критерии", так как именно на их основе ФСТЭК разрабатывает профили защиты. Так, каждая из перечисленных функций безопасности должна быть поддержана соответствующим набором функциональных требований безопасности. Помимо этого межсетевой экран должен соответствовать набору требований доверия к безопасности.

Приведем некоторые функциональные требования для рассматриваемого профиля защиты:

• возможность осуществлять фильтрацию сетевого трафика для отправителей информации, получателей информации и всех операций перемещения контролируемой МЭ информации к узлам информационной системы и от них;
• возможность обеспечить, чтобы в МЭ на все операции перемещения через МЭ информации к узлам информационной системы и от них распространялась фильтрация;
• МЭ должен осуществлять фильтрацию по следующим признакам: сетевой адрес узла отправителя, сетевой адрес узла получателя, сетевой протокол, транспортный протокол, порты источника и получателя в рамках сеанса (сессии), разрешенные (запрещенные) команды, разрешенный (запрещенный) мобильный код, разрешенные (запрещенные) протоколы прикладного уровня. МЭ также должен иметь возможность "осуществлять политику фильтрации пакетов с учетом управляющих команд от взаимодействующих с МЭ средств защиты информации других видов". Также МЭ должен иметь возможность определять ПО, осуществляющее соединения и назначать для него разрешительные и (или) запретительные атрибуты безопасности с целью последующего осуществления фильтрации;
• возможность выборочного просмотра данных аудита (поиск, сортировка, упорядочение данных аудита).
• возможность явно разрешать информационный поток, базируясь на устанавливаемых администратором МЭ наборе правил фильтрации, основанном на идентифицированных атрибутах;
• возможность идентификации администратора МЭ до разрешения любого действия, выполняемого при посредничестве МЭ от имени этого администратора;
• и т.д.

Не будем рассматривать все требования, с которыми можно ознакомиться в самом документе.

На текущий момент ФСТЭК разработала профили защиты для:

• межсетевых экранов
• операционных систем
• средств контроля подключения съемных машинных носителей
• средств антивирусной защиты
• средств доверенной загрузки
• систем обнаружения вторжений

С полным перечнем разработанных на текущий момент документов можно ознакомиться на сайте - https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty.

На этом мы заканчиваем обзор законов РФ, относящихся к информационной безопасности.