Лицензирование деятельности по защите информации — изменения в законодательстве

8 августа 2001 года Президент Российской Федерации В. В. Путин подписал Федеральный Закон РФ «О лицензировании отдельных видов деятельности», принятый Государственной Думой РФ 13 июля 2001 года. Данный закон регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, физическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности.

Среди видов деятельности, подлежащих лицензированию согласно новому закону, есть ряд принципиально новых — это деятельность по разработке и/или производству средств защиты конфиденциальной информации, а также деятельность по технической защите конфиденциальной информации.

Новый закон вступает в силу через шесть месяцев со дня его опубликования, т.е. с начала 2002 года. За оставшееся время необходимо привести в соответствие с ним деятельность в указанных областях.

Данный закон, наряду с законами “Об информации, информатизации и защите информации”, “О государственной тайне” и “О международном информационном обмене”, призван законодательно обеспечить основные положения Доктрины информационной безопасности Российской Федерации, подписанной Президентом РФ в сентябре 2000 года. Новый закон впервые вводит в орбиту законодательного обеспечения конфиденциальную информацию. До настоящего времени в российском законодательстве достаточно четко регламентировались только действия по защите информационных ресурсов, содержащих сведения, составляющие государственную тайну; регламентация же работ по защите конфиденциальной информации отсутствовала. Вместе с тем обеспечение безопасности этой категории информации весьма актуально, поскольку именно этот вопрос затрагивает взаимоотношения государственного и частного секторов экономики в области информационного обмена. До настоящего времени полностью регламентировать работы по защите конфиденциальной информации в частном секторе, даже при том, что результаты этих работ влияют на национальную безопасность страны в информационной сфере, не удалось и в ведущих странах Запада. Так, именно на разрешение этой проблемы направлена реализация “Национального плана защиты информационных систем” США, принятого администрацией Клинтона еще в январе 2000 года. Однако важность этих работ несомненна. Только органичная совокупность работ по обеспечению безопасности информации, составляющей государственную тайну, и конфиденциальной информации позволит защитить интересы России в информационной сфере.

К сожалению, основной недостаток российского законодательства в сфере защиты конфиденциальной информации пока сохраняется — ни один федеральный закон или указ Президента РФ не вводит требования обязательной защиты конфиденциальной информации, что в свою очередь вносит существенную дезорганизацию в систему законодательного обеспечения защиты интересов Российской Федерации в информационной сфере.

Российские эксперты отмечают, что включение в перечень лицензируемой деятельности работ, связанных с обеспечением защиты конфиденциальной информации, приведет к серьезному пересмотру подходов к обеспечению защиты информации как в ряде государственных министерств и ведомств, так и на предприятиях частной формы собственности.

Указом Президента РФ от 6 марта 1997 года №188 был утвержден перечень сведений конфиденциального характера, к которым отнесены:

• сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
• сведения, составляющие тайну следствия и судопроизводства;
• служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);
• сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее);
• сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);
• сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Таким образом, в категорию конфиденциальной попадает более 60% всей информации, циркулирующей в информационных системах предприятий разной формы собственности.

Согласно Федеральному закону РФ от 20 февраля 1995 года № 24-ФЗ «Об информации, информатизации и защите информации» деятельность по обеспечению защиты конфиденциальной информации возлагается на собственника этой информации. С вводом в действие нового закона о лицензировании вся деятельность по обеспечению технической защиты конфиденциальной информации подпадает под обязательное лицензирование. Следовательно, любой субъект, в информационных системах которого обрабатывается, хранится или передается конфиденциальная информация, относящаяся к одному из пунктов приведенного выше перечня, должен также обладать лицензией на проведение работ по технической защите информации этой категории либо привлекать для проведения подобных работ сторонние фирмы, обладающие такой лицензией.

Однако здесь есть существенное рассогласование основных понятий. Возложив на собственника информационных ресурсов их защиту, закон не конкретизирует необходимую и достаточную совокупность мер по такой защите. Согласно руководящим документам, защита информации проводится комплексно, с использованием организационных и технических мер защиты. Однако новый закон о лицензировании предусматривает лицензирование только деятельности по реализации технических мер защиты информации. В этом случае остается нерешенным вопрос о том, может ли собственник конфиденциальной информации обеспечить ее защиту одними организационными мерами.

Предполагается, что к соискателю лицензии будут применяться требования, изложенные в недавно принятом документе Гостехкомиссии при Президенте РФ — «Специальные требования и рекомендации по защите конфиденциальной информации» (СТР-К). Прежде всего это аттестация помещений и квалификация обслуживающего персонала, что потребует от соискателя серьезных единовременных финансовых затрат.

Таким образом, в настоящее время в России продолжает формироваться информационно-правовое поле, обеспечивающее защиту интересов страны в информационной сфере. Постепенно, но неуклонно в сферу компетенции и регулирования федеральных органов наряду с госпредприятиями попадают и предприятия частной формы собственности.

Введение ряда новых положений, касающихся защиты конфиденциальной информации, в закон о лицензировании отдельных видов деятельности способствует дальнейшему формированию этого правового поля и реализации основных положений Доктрины информационной безопасности РФ, а также обеспечивает юридическую базу по вопросу защиты информации, составляющей государственную тайну.

Вместе с тем остается ряд серьезных проблем, не позволяющих однозначно воспринимать нововведения. Прежде всего это отсутствие законодательно закрепленного, четкого и однозначного тезиса об обязательной защите конфиденциальной информации, а также о необходимой и достаточной совокупности организационных и технических мер ее защиты.

Но даже при этих ограничениях, всем владельцам информационных ресурсов, содержащих конфиденциальную информацию (согласно Указу Президента РФ), до вступления в силу нового закона о лицензировании следует обратить внимание на совершенствование системы защиты информации (по требованиям, определенным в «Специальных требованиях и рекомендациях по защите конфиденциальной информации» Гостехкомиссии России) и подготовиться к получению необходимых лицензий.

Сергей Гриняев – сотрудник компании «Документальные системы – МФД». С ним можно связаться по e-mail: sgreen@mfd.msk.ru.