Контакты
Подписка
МЕНЮ
Контакты
Подписка

Сертификация как фактор риска для юридического лица

Сертификация как фактор риска для юридического лица

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Сертификация как фактор риска для юридического лица

Закон "О государственной тайне" устанавливает, что средством защиты информации являются "технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы".

Сергей Артамошин, специалист в области защиты информации

Вадим Донцов, ФБУ НИИИиПТ ФСИН

Сергей Нагорный, ФБУ НИИИиПТ ФСИН

Лицензия: взгляд юриста

Гражданское законодательство (ГК РФ) устанавливает перечень видов деятельности, которыми юридическое лицо вправе заниматься только на основании специального разрешения - лицензии (ч. 3 п. 1 ст. 49 ГК РФ)1. Право на осуществление лицензируемой деятельности возникает с момента получения лицензии либо с момента начала указанного в ней срока и прекращается по его истечении, если правовыми актами не установлено иное (ч. 2 п. 3 ст. 49 ГК РФ).

Лицензирование предпринимательской деятельности является правовым средством государственного регулирования рыночных отношений, элементом легитимации определенных видов деятельности предпринимателя. Лицензия — это специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю, как правило, на определенный срок (ст. 2 и 8 ФЗ "О лицензировании отдельных видов деятельности").

Вид деятельности, на осуществление которого предоставлена лицензия, может выполняться только получившим лицензию   юридическим  лицом или индивидуальным предпринимателем (п. 1 ст. 7 ГК РФ). В случаях, предусмотренных законом, лицензирующие органы вправе приостановить и даже аннулировать действие лицензии (ст. 13 ФЗ "О лицензировании отдельных видов деятельности"). В гражданско-правовом смысле лицензия на осуществление отдельных видов деятельности есть не право, а официальное разрешение2. Как разъяснил Президиум Высшего арбитражного суда РФ3, согласно ч. 3 п. 2 ст. 61 ГК РФ осуществление коммерческой организацией деятельности, подлежащей лицензированию, после аннулирования лицензии может являться основанием для ее ликвидации. Например, в силу особенностей правового положения кредитных организаций отзыв лицензии является начальным этапом процедуры банкротства или ликвидации банка.

Работа с гостайной: условия получения лицензии

Остановимся более подробно на одном из условий, дающем право юридическому лицу работать со сведениями, составляющими государственную тайну. Допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну,  созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, осуществляется путем получения ими в порядке, устанавливаемом Правительством Российской Федерации, лицензий на проведение работ со сведениями соответствующей степени секретности5. Одним из условий получения лицензии на проведение работ с использованием сведений, составляющих государственную тайну, является "наличие сертифицированных средств защиты информации".

Закон "О государственной тайне" устанавливает, что средством защиты информации являются "технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы".

требованиям технических регламентов, положениям стандартов или условиям договоров, является сертификат. Принимая во внимание требования Закона "О государственной тайне" в части наличия сертификата на "средства, в которых они реализо-Согласно ст. 2 Федерального закона от 27 декабря 2002 г. № 184-ФЗ "О техническом регулировании", под сертификацией понимается форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров. А документом, удостоверяющим соответствие объект требованиям технических регламентов, положениям стандартов или условиям договоров, является сертификат. Принимая во внимание требования Закона "О государственной тайне" в части наличия сертификата на "средства, в которых они реализованы", то есть на весь объект информатизации в целом, встает естественная проблема, как выполнить поставленное условие.

В чем проблема

В соответствии с законодательством Российской Федерации федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, установил, что поставленная задача может быть решена в рамках сертификации и аттестации объекта информатизации. При этом необходимо иметь в виду, что федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, требование ФЗ "О государственной тайне" реализует только в рамках проведения сертификации.

Принимая во внимание, что межведомственный контроль за обеспечением защиты государственной тайны в органах государственной власти, на предприятиях, в учреждениях и организациях осуществляют федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, и их территориальные органы, то в зависимости от требований ведомственных нормативных актов в части соблюдения требования Закона "О государственной тайне" и при отсутствии межведомственной координации в части выработки единых требований в области сертификации для юридического лица могут наступить неожиданные последствия в рамках ч. 3 п. 2 ст. 61 ГК РФ.

Согласно ст. 2 Федерального закона от 27 декабря 2002 г. № 184-ФЗ "О техническом регулировании", под сертификацией понимается форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров.

Как защитить секреты

Комментарий эксперта


Владимир Ульянов

руководитель аналитического центра Perimetrix

Наверное, немало специалистов по безопасности знакомы с тем, как устроены секретные библиотеки на режимных объектах. Если служащему необходимо ознакомиться с документом, он записывается в журнал. По получении документа он никуда с ним не уходит (чтобы "потерять" или скопировать), а остается работать в специально отведенном месте. Служащий не может исказить или уничтожить документ или его часть, вырвать страницу (все они пронумерованы). Если же уровень доступа позволяет внести изменения в документ, будет сделана отметка и об изменениях. Впоследствии нарушителя режима можно будет легко вычислить. Получается, пространство, в котором хранятся и используются секретные документы, находится под полным контролем, оно безопасно. В сегодняшних условиях сама форма представления информации предъявляет повышенные требования к ее защите. Данные, хранящиеся на электронных носителях в разы и даже на порядки более подвержены утечке, нежели бумажные документы. Возникает вопрос: "Как же защитить эту информацию?" И в данном контексте, следует отметить, речь может идти не о государственной тайне вовсе, а о любом типе конфиденциальной информации, персональных данных, банковской тайне, служебной тайне, корпоративных секретах и т.д.

Так, может, нет никакого резона "изобретать велосипед", а достаточно просто переложить правила "классического" режимного документооборота на электронный лад? Оказывается, данная идея уже реализована на практике. Решения класса ИАС РСКД (информационно-аналитические системы режима секретности конфиденциальных данных) — как раз тот самый режимный документооборот в электронном виде. За счет автоматизации множества формальных процедур упрощается рутинная работа "секретчиков", сокращается время принятия решения. А вместе с тем сами секретные документы оказываются надежно защищены.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2009
Посещений: 10575

Приобрести этот номер или подписаться

Статьи по теме

  Автор

Сергей Артамошин

Сергей Артамошин

Cпециалист в области защиты информации, независимый эксперт

Всего статей:  2

  Автор

 

Вадим Донцов

начальник лаборатории ФБУ НИИИиПТ ФСИН

Всего статей:  3

  Автор

 

Сергей Нагорный

начальник центра Федерального бюджетного учреждения "Научно-исследовательский институт информационных и производственных технологий Федеральной службы исполнения наказаний" (ФБУ НИИИиПТ ФСИН)

Всего статей:  8

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций