ОСОБЕННОСТИ ЛИЦЕНЗИРОВАНИЯ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ В РЕСПУБЛИКЕ МОЛДОВА Деятельность в области защиты информации была признана важной для обеспечения государственности страны и потому стала подвергаться лицензированию. Так, 26 марта 1999 года Парламент Республики Молдова принял закон за номером 332-XIV о лицензировании отдельных видов деятельности, среди которых в разделе 14 (в части, касающейся Министерства Национальной Безопасности, преобразованного в Агентство безопасности и информации) присутствует и деятельность в области защиты информации. Цель настоящей статьи -попытка оценки эффективности и возможности применения на практике статей Закона предприятиями и организациями, работающими с информацией и выполняющими работы по ее защите, поскольку проблема защиты сертификации во много раз сложнее, чем она представлена. В рассматриваемом Законе лицензия на занятие определенными видами деятельности определяется как документ, удостоверяющий способность и право его обладателя осуществлять определенный вид деятельности при условиях, обеспечивающих высокое качество товаров и услуг. Закон о лицензировании определяет также сферы действия, сроки, на которые выдаются лицензии (5 лет для деятельности в области защиты информации), документы, необходимые для получения лицензии и требования к ним, органы, уполномоченные выдавать лицензии, состав и порядок работы ведомственных лицензионных комиссий и многие другие аспекты процесса лицензирования. В разделе 14 приложения 2 Закона определен перечень видов деятельности, которые попадают под его действие и касаются деятельности в области защиты информации и которые лицензируются Агентством по безопасности и информации. Выделяются следующие виды деятельности:
Приведенный перечень достаточно внушительный и, на первый взгляд, покрывает стратегические направления в области защиты информации. Но при более подробном рассмотрении появляются вопросы, на которые не совсем просто ответить. К ним можно отнести следующие:
Перечень проблемных вопросов может быть расширен, но по-нашему мнению, получение четких и однозначных ответов позволит разрешить основные проблемы, решение которых позволит исключить другие. Оставляя первый вопрос о том, попадает ли под лицензирование научная деятельность, связанная с исследованиями в области криптографии, без ответа (во всяком случае, авторы не смогли получить у компетентных органов исчерпывающий ответ на него), ограничимся далее рассмотрением следующих и попытаемся их проанализировать. В отношении второго вопроса, касающегося продажи криптографических средств, целесообразно рассмотреть следующие возможные ситуации: 1. Продажа криптографических средств в чистом виде. На сегодняшний день в Республике Молдова формируются основы рынка средств защиты информации, большинство продуктов импортируется (авторам известен только один криптографический продукт, разработанный в РМ). В большинстве случаев указанные продукты предлагаются местными фирмами, которые не обладают соответствующей лицензией. Ситуация такова, что если фирма импортирует "железную" криптографию (т.е. аппаратную реализацию), то в этом случае возможен контроль за импортом, продажей и использованием. В том случае, если это программная реализация, то она может выступать и реализовываться в качестве средства контроля доступа к информационным ресурсам, что в конечном итоге делает невозможным управление процессом распространения и использования. 2. Продажа криптографических средств, встроенных в функциональные продукты, такие, как операционные системы, системы управления базами данных, пакеты прикладных программ и другие. Важной проблемой, которая не решена в рамках Закона о лицензировании, является продажа криптографических средств в составе функциональных продуктов информационных технологий. На сегодняшний день большинство программных продуктов поставляются разработчиками со встроенными средствами криптографии. В зависимости от того, из какой страны они импортируются, определяется минимальная длина ключа (например, в США -стандартная длина ключа до недавнего времени равнялась 40 бит, но в декабре 1999 года это ограничение было снято и длина ключа без специального разрешения была увеличена до 56 бит). Кроме того, с помощью сети Интернет пользователи могут получить бесплатные расширения для использования средств криптографии, встроенных в стандартные продукты с длиной ключа до 128 бит. Следует отметить, что в большинстве функциональных продуктов обязательно присутствуют средства криптографической защиты. 3. Бесплатное распространение криптографических продуктов. Огромное количество продуктов, в том числе криптографических, можно получить бесплатно или условно-бесплатно. Это относится как к готовым продуктам (таким, как ранние версии PGP), так и криптографическим библиотекам, которые встраиваются в информационные системы (особенно распространены для операционной системы Windows 9x/NT, Linux). В данном случае процесс распространения происходит стихийно и не поддается контролю и, естественно, лицензированию. Возвращаясь к закону РМ о лицензировании, следует отметить, что он предусматривает лицензирование деятельности, связанной с защитой информации от утечки по техническим каналам связи. Данный вид деятельности означает исследование зданий и сооружений на возможность утечки информации с помощью побочных электромагнитных излучений и наводок (ПЭМИН). Естественно, что для государственных учреждений этот вопрос является принципиальным и должны быть предприняты все возможные меры для уменьшения риска потери информации. В то же время существует коммерческая деятельность, которая формально направлена на защиту информации от утечки по различным каналам связи, но фактически является промышленным шпионажем. В рекламных проспектах он формулируется следующим образом: "удаленное обследование и тестирование защищенности информационной системы заказчика". Для этого разработано и используется множество продуктов, как коммерческих, так и бесплатных, которые можно найти в сети Интернет. Если проводить параллель, то этот вид деятельности на много опаснее зафиксированного в законе, тем не менее он остается вне правового пространства. Естественно, что в этих условиях, когда во многих случаях затруднен контроль или не поддается контролю продажи или распространения криптографических средств и продуктов, возникает вопрос о возможности управления процессами в области защиты информации, в общем, и разработки, распространения и использования криптографических средств, в частности. Предпримем попытку рассмотрения цепочки условий и связей, обеспечивающих управляемость и высокое качество продуктов и услуг в области защиты информации. В рамках "классической" рыночной схемы существуют две взаимодействующие стороны: продавец (производитель) товаров и услуг и покупатель (потребитель). Схема работает следующим образом. Производитель (продавец) предлагает продукты и услуги. Покупатель (потребитель) осуществляет выбор необходимых ему продуктов и услуг. Спрос рождает предложение, но потребитель остро нуждается в гарантиях, подтверждающих высокое качество. В силу специфики рынка продуктов и услуг по защите информации третьим активным участником обязательно должно стать государство в силу следующих обстоятельств. Во-первых, государство и государственные структуры являются основными потребителями этих продуктов и услуг в соответствии с положениями Закона "О государственной тайне". Во-вторых, государство берет на себя обязанности по лицензированию данной сферы деятельности. В-третьих, в соответствии с основной целью рассматриваемого Закона -государство обеспечивает высокое качество продуктов и услуг в области защиты информации посредством сертификации, аттестации, разработки соответствующих стандартов, нормативно-методического обеспечения и экспертизы. В условиях становления рынка средств защиты информации действенные гарантии должно представлять только государство посредством формирования высоких требований к качеству продуктов и услуг с помощью системы государственных стандартов и сертификатов. Покупатель (потребитель) обязан признавать лицензию и сертификат в качестве гарантии. Приведенная схема достаточно проста, эффективна и функционирует без сбоев при условии тщательной проработки законодательного обеспечения. При анализе статей рассматриваемого закона, а также складывающихся отношений в области защиты информации, возникает множество нестыковок, которые исключают эффективную работу схемы контроля качества. Во-первых, отсутствуют стандарты, которые определяют требования к продуктам защиты информации. Во-вторых, отсутствует система сертификации продуктов и услуг в этой области. В-третьих, не определен перечень продуктов по защите информации, которые необходимо сертифицировать. Но самый главный недостаток нашей правовой системы - это отсутствие фундаментального Закона об информации и ее защите. Таким образом, на сегодняшний день складывается следующая ситуация: ничего не надо защищать (даже с учетом законов о защите государственной и коммерческой тайны); далее, соответственно, нечем защищать; и как следствие -отсутствуют требования к качеству? Множество проблем, которые появляются в связи с использованием информационных технологий, не позволяют долго размышлять о том, что необходимо предпринять и в какой последовательности. Сегодня необходимо конструктивное их решение с учетом накопленного опыта и знаний. Представленное видение проблем в рамках данной статьи является больше техногенным, чем юридическим (ввиду особенностей деятельности авторов), но, по-нашему мнению, в основе любого закона должны лежать предпосылки предметной области, основным принципом любого закона является адекватность соответствующей предметной области. Только в этом случае закон будет работать. Обобщая сказанное выше, представляется возможным сделать следующие выводы:
Настоящая статья не претендует на всесторонний анализ всего пространства правового регулирования процессов информации и наверняка оставила без внимания многие вопросы, которые напрямую связаны с лицензированием и сертификацией деятельности в данной области. В этой связи лицензирование деятельности в области защиты информации должно обеспечить ее должный уровень, гарантирующий сохранение и укрепление политической и социальной стабильности общества, защиту прав и свобод граждан, функционирование рыночной экономики и кредитно-финансовой системы, сохранение национальных традиций и ценностей, исключение распространения недостоверной и ложной информации. По нашему мнению, необходимо привлечь внимание государственных организаций, коммерческих структур, научных и практических работников, средств массовой информации к проблеме безопасности информации.
|