О трансформации понятия "носители сведений" в понятие "автоматизированная система"

Сергей Нагорный,
начальник центра Федерального бюджетного учреждения "Научно-исследовательский институт информационных и производственных технологий Федеральной службы исполнения наказаний" (ФБУ НИИИиПТ ФСИН)

Василий Родионов,
первый заместитель начальника ФБУ НИИИиПТ ФСИН

Вадим Донцов,
начальник лаборатории ФБУ НИИИиПТ ФСИН

ФЗ "О государственной тайне"

Федеральный закон (ФЗ) "О государственной тайне" регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.

Статья 2 ФЗ "О государственной тайне" вводит следующие два понятия:

• носители сведений, составляющих государственную тайну, - материальные объекты, в том числе физические поля, в которых эти сведения находят свое отображение в виде символов, образов, сигналов, технических решений и процессов;
• средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

При этом статья 28 ФЗ "О государственной тайне" устанавливает, что "средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности".

ФЗ "Об информации, информационных технологиях и о защите информации"

В соответствии с Постановлением Правительства РФ от 26 июня 1995 г. ФЗ № 608 "О сертификации средств защиты информации" подлежат обязательной сертификации "технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации, которые являются средствами защиты информации".

ФЗ "Об информации, информационных технологиях и о защите информации" регулирует отношения, возникающие:

• при осуществлении права на поиск, получение, передачу, производство и распространение информации;
• при применении информационных технологий;
• при обеспечении защиты информации.

Данный ФЗ ввел следующие понятия:

• информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;
• информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
• информационная система -совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
• оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Кроме того, ФЗ "Об информации, информационных технологиях и о защите информации" ввел и следующее ограничение - "защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством РФ о государственной тайне".

Как следует из ФЗ "Об информации, информационных технологиях и о защите информации": "требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий", а "использование информационно-телекоммуникационных сетей осуществляется с соблюдением требований законодательства РФ в области связи и иных нормативных правовых актов Российской Федерации". То есть "носители сведений как материальный объект" можно идентифицировать как "информационную систему".

Принимая во внимание вышеизложенное, становится очевидно, что "средства защиты информации" входят в состав "информационных систем". Но тогда возникает вопрос - как трактовать понятие "...средства, в которых они реализованы...".

ФЗ "О сертификации средств защиты информации"

В соответствии с Постановлением Правительства РФ от 26 июня 1995 г. № 608 "О сертификации средств защиты информации" "Государственной технической комиссии при Президенте РФ, Федеральному агентству правительственной связи и информации при Президенте РФ, Федеральной службе безопасности РФ и Министерству обороны РФ в пределах определенной законодательством Российской Федерации компетенции в 3-месячный срок разработать и ввести в действие соответствующие положения о системах сертификации, перечни средств защиты информации, подлежащих сертификации в конкретной системе сертификации". На основании вышеизложенного Постановления в настоящее время разработаны и действуют:

• Приказ ФСБ РФ от 13 ноября 1999 г. № 564 "Об утверждении положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия" (зарегистрирован в Минюсте РФ 27 декабря 1999 г. Регистрационный № 2028);
• Приказ председателя Государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. № 199 " Об утверждении положения о сертификации средств защиты информации по требованиям безопасности информации".

Понятие "система сертификации средств защиты информации по требованиям безопасности информации" в соответствии с "Положением о сертификации средств защиты информации по требованиям безопасности информации" (утвержденным приказом председателя Государственной технической комиссии при Президенте РФ от 27 октября 1995 г. № 199) включает в себя "аттестацию объектов информатизации по требованиям безопасности информации". При этом "основные принципы, организационная структура системы аттестации объектов информатизации по требованиям безопасности информации, правила проведения, а также другие вопросы аттестации определяются уже другим "Положением по аттестации объектов информатизации по требованиям безопасности информации".

Принимая во внимание вышеизложенное и не обсуждая легитимность нормативно-правовых актов, не прошедших регистрацию в системе Министерства юстиции России, становится очевидна необходимость приведения в соответствие понятий: I "сертификация средств защиты информации" в части "аттестации объектов информатизации по требованиям безопасности информации"; I совокупности "оператор информационной системы" и "информационная система" в части "автоматизированной системы различного уровня и назначения"; I "информационно-телекоммуникационная сеть" как "системы связи, приема, обработки и передачи данных".

Согласно Постановлению Правительства РФ от 26 июня 1995 г. № 608 "О сертификации средств защиты информации" органы по сертификации средств защиты информации лишь:

• сертифицируют средства защиты информации, выдают сертификаты и лицензии на применение знака соответствия с представлением копий в федеральные органы по сертификации и ведут их учет;
• принимают решение о проведении повторной сертификации при изменениях в технологии изготовления и конструкции  (составе)  сертифицированных средств защиты информации.

Понятие "объект информатизации"

Таким образом, "объект информатизации", подлежащий аттестации по требованиям безопасности информации, можно принять как реализацию процесса сертификации "средств защиты информации" как "...средства, в которых они реализованы...".

Понятие "объект информатизации" можно раскрыть через "перечень объектов информатизации, подлежащих аттестации в Системе сертификации средств защиты информации по требованиям безопасности информации":

• автоматизированные системы различного уровня и назначения;
• системы связи, приема, обработки и передачи данных;
• системы отображения и размножения;
• помещения, предназначенные для ведения конфиденциальных переговоров...