ОСОБЕННОСТИ ЛИЦЕНЗИРОВАНИЯ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ В РЕСПУБЛИКЕ МОЛДОВА

Деятельность в области защиты информации была признана важной для обеспечения государственности страны и потому стала подвергаться лицензированию. Так, 26 марта 1999 года Парламент Республики Молдова принял закон за номером 332-XIV о лицензировании отдельных видов деятельности, среди которых в разделе 14 (в части, касающейся Министерства Национальной Безопасности, преобразованного в Агентство безопасности и информации) присутствует и деятельность в области защиты информации.

Цель настоящей статьи -попытка оценки эффективности и возможности применения на практике статей Закона предприятиями и организациями, работающими с информацией и выполняющими работы по ее защите, поскольку проблема защиты сертификации во много раз сложнее, чем она представлена.

В рассматриваемом Законе лицензия на занятие определенными видами деятельности определяется как документ, удостоверяющий способность и право его обладателя осуществлять определенный вид деятельности при условиях, обеспечивающих высокое качество товаров и услуг.

Закон о лицензировании определяет также сферы действия, сроки, на которые выдаются лицензии (5 лет для деятельности в области защиты информации), документы, необходимые для получения лицензии и требования к ним, органы, уполномоченные выдавать лицензии, состав и порядок работы ведомственных лицензионных комиссий и многие другие аспекты процесса лицензирования.

В разделе 14 приложения 2 Закона определен перечень видов деятельности, которые попадают под его действие и касаются деятельности в области защиты информации и которые лицензируются Агентством по безопасности и информации. Выделяются следующие виды деятельности:

    1. разработка, производство, приобретение и реализация шифровальной техники, техническая помощь и профилактика шифровальных и других специальных средств хранения, обработки, передачи, снятия и записи информации для обеспечения ее достоверности и предоставление услуг по шифрованию;
    2. криптографическая и инженерно-техническая защита информации, крипто-алгоритмов и криптографического анализа;
    3. специальные обследования технических средств и сооружений в целях защиты от утечки информации по техническим каналам;
    4. разработка шифров;
    5. подготовка кадров в области криптографии.

Приведенный перечень достаточно внушительный и, на первый взгляд, покрывает стратегические направления в области защиты информации. Но при более подробном рассмотрении появляются вопросы, на которые не совсем просто ответить. К ним можно отнести следующие:

    1. Распространяются ли слова "разработка, производство, приобретение и реализация" пункта "а" на все последующие виды деятельности в области защиты информации, изложенные в пунктах Ь, с, d, е)? Если да, то некоторые из последующих теряют свой смысл, а если нет, то попадает ли под лицензирование научная деятельность, связанная с исследованиями в области криптографии?
    2. В перечне определены все виды работ, которые покрывают разработку шифров, криптографическую и инженерно-техническую защиту информации, криптографический анализ и прочие, но никак не покрывают деятельность, связанную с продажей криптографических средств. Как должна быть организована продажа криптографических средств?
    3. На кого и каким образом распространяется лицензирование Криптографической информации? В соответствии с законом для того, чтобы использовать криптографические Средства государственные и коммерческие структуры должны получить лицензию. Относится ли это положение к гражданам РМ, использующим (или предполагающим использовать в будущем) средства криптографии для защиты персональной информации?
    4. Разработка криптографических средств защиты информации также остается за рамками указанного закона, что заставляет задуматься о его функциональности. Какие стандарты должны использоваться при разработке криптографических средств?

Перечень проблемных вопросов может быть расширен, но по-нашему мнению, получение четких и однозначных ответов позволит разрешить основные проблемы, решение которых позволит исключить другие.

Оставляя первый вопрос о том, попадает ли под лицензирование научная деятельность, связанная с исследованиями в области криптографии, без ответа (во всяком случае, авторы не смогли получить у компетентных органов исчерпывающий ответ на него), ограничимся далее рассмотрением следующих и попытаемся их проанализировать.

В отношении второго вопроса, касающегося продажи криптографических средств, целесообразно рассмотреть следующие возможные ситуации:

1. Продажа криптографических средств в чистом виде. На сегодняшний день в Республике Молдова формируются основы рынка средств защиты информации, большинство продуктов импортируется (авторам известен только один криптографический продукт, разработанный в РМ). В большинстве случаев указанные продукты предлагаются местными фирмами, которые не обладают соответствующей лицензией. Ситуация такова, что если фирма импортирует "железную" криптографию (т.е. аппаратную реализацию), то в этом случае возможен контроль за импортом, продажей и использованием. В том случае, если это программная реализация, то она может выступать и реализовываться в качестве средства контроля доступа к информационным ресурсам, что в конечном итоге делает невозможным управление процессом распространения и использования.

2. Продажа криптографических средств, встроенных в функциональные продукты, такие, как операционные системы, системы управления базами данных, пакеты прикладных программ и другие. Важной проблемой, которая не решена в рамках Закона о лицензировании, является продажа криптографических средств в составе функциональных продуктов информационных технологий. На сегодняшний день большинство программных продуктов поставляются разработчиками со встроенными средствами криптографии. В зависимости от того, из какой страны они импортируются, определяется минимальная длина ключа (например, в США -стандартная длина ключа до недавнего времени равнялась 40 бит, но в декабре 1999 года это ограничение было снято и длина ключа без специального разрешения была увеличена до 56 бит). Кроме того, с помощью сети Интернет пользователи могут получить бесплатные расширения для использования средств криптографии, встроенных в стандартные продукты с длиной ключа до 128 бит. Следует отметить, что в большинстве функциональных продуктов обязательно присутствуют средства криптографической защиты.

3. Бесплатное распространение криптографических продуктов. Огромное количество продуктов, в том числе криптографических, можно получить бесплатно или условно-бесплатно. Это относится как к готовым продуктам (таким, как ранние версии PGP), так и криптографическим библиотекам, которые встраиваются в информационные системы (особенно распространены для операционной системы Windows 9x/NT, Linux). В данном случае процесс распространения происходит стихийно и не поддается контролю и, естественно, лицензированию.

Возвращаясь к закону РМ о лицензировании, следует отметить, что он предусматривает лицензирование деятельности, связанной с защитой информации от утечки по техническим каналам связи. Данный вид деятельности означает исследование зданий и сооружений на возможность утечки информации с помощью побочных электромагнитных излучений и наводок (ПЭМИН). Естественно, что для государственных учреждений этот вопрос является принципиальным и должны быть предприняты все возможные меры для уменьшения риска потери информации. В то же время существует коммерческая деятельность, которая формально направлена на защиту информации от утечки по различным каналам связи, но фактически является промышленным шпионажем. В рекламных проспектах он формулируется следующим образом: "удаленное обследование и тестирование защищенности информационной системы заказчика". Для этого разработано и используется множество продуктов, как коммерческих, так и бесплатных, которые можно найти в сети Интернет. Если проводить параллель, то этот вид деятельности на много опаснее зафиксированного в законе, тем не менее он остается вне правового пространства.

Естественно, что в этих условиях, когда во многих случаях затруднен контроль или не поддается контролю продажи или распространения криптографических средств и продуктов, возникает вопрос о возможности управления процессами в области защиты информации, в общем, и разработки, распространения и использования криптографических средств, в частности.

Предпримем попытку рассмотрения цепочки условий и связей, обеспечивающих управляемость и высокое качество продуктов и услуг в области защиты информации. В рамках "классической" рыночной схемы существуют две взаимодействующие стороны: продавец (производитель) товаров и услуг и покупатель (потребитель).

Схема работает следующим образом. Производитель (продавец) предлагает продукты и услуги. Покупатель (потребитель) осуществляет выбор необходимых ему продуктов и услуг. Спрос рождает предложение, но потребитель остро нуждается в гарантиях, подтверждающих высокое качество. В силу специфики рынка продуктов и услуг по защите информации третьим активным участником обязательно должно стать государство в силу следующих обстоятельств. Во-первых, государство и государственные структуры являются основными потребителями этих продуктов и услуг в соответствии с положениями Закона "О государственной тайне". Во-вторых, государство берет на себя обязанности по лицензированию данной сферы деятельности. В-третьих, в соответствии с основной целью рассматриваемого Закона -государство обеспечивает высокое качество продуктов и услуг в области защиты информации посредством сертификации, аттестации, разработки соответствующих стандартов, нормативно-методического обеспечения и экспертизы.

В условиях становления рынка средств защиты информации действенные гарантии должно представлять только государство посредством формирования высоких требований к качеству продуктов и услуг с помощью системы государственных стандартов и сертификатов. Покупатель (потребитель) обязан признавать лицензию и сертификат в качестве гарантии. Приведенная схема достаточно проста, эффективна и функционирует без сбоев при условии тщательной проработки законодательного обеспечения.

При анализе статей рассматриваемого закона, а также складывающихся отношений в области защиты информации, возникает множество нестыковок, которые исключают эффективную работу схемы контроля качества. Во-первых, отсутствуют стандарты, которые определяют требования к продуктам защиты информации. Во-вторых, отсутствует система сертификации продуктов и услуг в этой области. В-третьих, не определен перечень продуктов по защите информации, которые необходимо сертифицировать.

Но самый главный недостаток нашей правовой системы - это отсутствие фундаментального Закона об информации и ее защите. Таким образом, на сегодняшний день складывается следующая ситуация: ничего не надо защищать (даже с учетом законов о защите государственной и коммерческой тайны); далее, соответственно, нечем защищать; и как следствие -отсутствуют требования к качеству?

Множество проблем, которые появляются в связи с использованием информационных технологий, не позволяют долго размышлять о том, что необходимо предпринять и в какой последовательности. Сегодня необходимо конструктивное их решение с учетом накопленного опыта и знаний.

Представленное видение проблем в рамках данной статьи является больше техногенным, чем юридическим (ввиду особенностей деятельности авторов), но, по-нашему мнению, в основе любого закона должны лежать предпосылки предметной области, основным принципом любого закона является адекватность соответствующей предметной области. Только в этом случае закон будет работать.

Обобщая сказанное выше, представляется возможным сделать следующие выводы:

  1. На сегодняшний день сложилась ситуация, когда любой субъект страны может продавать и распространять криптографические продукты.
  2. Все лица (как физические, так и юридические), а также органы государственной власти попадают под действие п. "б" приложения 2 Закона о лицензировании.
  3. Для обеспечения качества продуктов и услуг в области защиты информации необходимо разработать, определить и принять стандарты, в том числе криптографические, использование которых ориентировано, в первую очередь, на государственные информационные системы.
  4. Необходимо определение требований по защите информационных ресурсов и выделение основных, при защите которых в обязательном порядке должна быть использована криптография.
  5. Необходимо разработка системы действенных механизмов контроля за использованием криптографических средств. Опыт работы по обеспечению информационной безопасности показывает, что директивные ограничения, как правило, малоэффективны. Качество продуктов и услуг должно контролироваться с помощью системы обязательной сертификации.
  6. Целесообразно определение условий, при выполнении которых использование криптографических средств попадает под государственное регулирование.

Настоящая статья не претендует на всесторонний анализ всего пространства правового регулирования процессов информации и наверняка оставила без внимания многие вопросы, которые напрямую связаны с лицензированием и сертификацией деятельности в данной области. В этой связи лицензирование деятельности в области защиты информации должно обеспечить ее должный уровень, гарантирующий сохранение и укрепление политической и социальной стабильности общества, защиту прав и свобод граждан, функционирование рыночной экономики и кредитно-финансовой системы, сохранение национальных традиций и ценностей, исключение распространения недостоверной и ложной информации. По нашему мнению, необходимо привлечь внимание государственных организаций, коммерческих структур, научных и практических работников, средств массовой информации к проблеме безопасности информации.

С. ОХРИМЕНКО, профессор университар.
Г. ЧЕРНЕЙ, доктор экономики.
И. ЖУК, директор "Cerber-lnfo".