Концепция «инфраструктуры доверия» в исполнительных органах государственной власти Томской области (стр. 3 )

5.1 Правовые аспекты

Помимо обеспечения базовой точности, заложенной в каждую из служб (например, точность фиксации времени (time stamping) для соответствующей службы), ДТС приходится брать на себя целый ряд обязательств, вытекающих из ожиданий пользователей, в том числе бесперебойное обеспечение конфиденциальности, целостности, доступности, контроля доступа, подотчётности, подлинности, надёжности, секретности, а также связанных с этическими, правовыми (законы и регулирующие нормы), техническими и финансовыми аспектами её деятельности. Случайное или преднамеренное нарушение этих обязательств может привести к существенным потерям для пользователей, которые они попытаются компенсировать за счёт ДТС. Чтобы держать под контролем как ответственность сторон, так и ожидания пользователей системы, необходимо заключение чётко сформулированного официального договора между ДТС и её пользователями (форма заключения – договор присоединения).

Как минимум, такой договор должен регулировать следующий круг вопросов:

1) обязательства сторон;

2) обеспечение секретности, с учётом законодательства о защите персональных данных;

3) интеллектуальная собственность и авторские права;

4) используемые системы и алгоритмы криптографии;

5) законные основания предоставления и ограничения доступа;

6) законность предоставления обязательных услуг (н-р, ЭЦП);

7) анонимность участников обмена;

8) право расследования (н-р, путём мандатов);

9) законодательные и регулирующие требования в данной сфере и отрасли деятельности;

НЕ нашли? Не то? Что вы ищете?

10) виды предоставляемых услуг;

11) правила доступа, в том числе разрешённые методы доступа и процедуры авторизации пользователей (и смены уже авторизованных пользователей);

12) порядок разрешения проблем (и перечень уполномоченных контактных центров ДТС);

13) обязательства сторон, проистекающие из аппаратных и программных требований, необходимости контроля со стороны руководства ДТС и возможных изменений системы;

14) порядок извещения ДТС о нарушениях безопасности, информирования о них пользователей и последующего расследования.

Обязательства и ответственность ДТС должны соответствовать её финансовым возможностям, полномочиям и поручительству, полученным от других лиц. Эти лица должны получить гарантии того, что ДТС обеспечивает защиту предоставленной ей информации, кроме случаев, предусмотренных договором.

ДТС обязана удовлетворять требования законодательства Российской Федерации.

5.1.1 Требования законодательства Российской Федерации

Согласно «Положению о лицензировании деятельности по технической защите конфиденциальной информации»:

Лицензирование деятельности по технической защите конфиденциальной информации осуществляет Федеральная служба по техническому и экспортному контролю.

Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:

1) наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;

2) наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;

3) наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;

4) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

5) использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;

6) наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю.

В "Положении о сертификации средств защиты информации" в пункте 7 определено: "Изготовители производят (реализуют) средства защиты информации только при наличии сертификата".

Подписанный 3 апреля 1995 года Указ Президента Российской Федерации N 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" устанавливает запрет на:

- использование государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации;

- размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации.

ФСБ Приказом от 9 февраля 2005 года № 66 утвердило Положение "О разработке, производстве, реализации и использовании шифровальных (криптографических) средств защиты информации " (Положение ПКЗ-2005).

Согласно данному Положению, при принятии решения о необходимости криптографической защиты, подлежащей в соответствии с действующим законодательством обязательной защите конфиденциальной информации требования Положения являются обязательными:

- если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;

- при организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации (далее - государственные органы);

- при организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд (далее - организации, выполняющие государственные заказы);

- если обязательность защиты информации конфиденциального характера возлагается законодательством Российской Федерации на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации;

- при обрабатывании информации конфиденциального характера, обладателем которой являются государственные органы или организации, выполняющие государственные заказы, в случае принятия ими мер по охране ее конфиденциальности путем использования средств криптографической защиты;

- при обрабатывании информации конфиденциального характера в государственных органах и в организациях, выполняющих государственные заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптографической защиты данной информации.

Требования Положения ПКЗ-2005 носят рекомендательный характер при разработке, производстве, реализации и эксплуатации:

- средств криптографической защиты информации, доступ к которой ограничивается по решению обладателя, пользователя (потребителя) данной информации, собственника (владельца) информационных ресурсов (информационных систем) или уполномоченных ими лиц, не являющихся государственными органами или организациями, выполняющими государственные заказы;

- средств криптографической защиты информации открытых и общедоступных государственных информационных ресурсов Российской Федерации;

- средств электронной цифровой подписи, предназначаемых для использования в электронном документообороте, информация которого не относится к информации конфиденциального характера;

- информационно-телекоммуникационных систем, реализующих функции криптографической защиты информации, не относящейся к информации конфиденциального характера.

Приказом ФАПСИ от 13 июня 2001 г. N 152 утверждена «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну». При применении инструкции следует учитывать, что положение ПКЗ-99 утратило силу в связи утверждением положения ПКЗ-2005, а Федеральное агентство правительственной связи и информации при Президенте РФ упразднено и его функции переданы ФСБ РФ, СВР РФ и Службе специальной связи и информации при ФСО РФ.

Из приведенного выше вытекает следующее.

1. Государственные учреждения для защиты от несанкционированного доступа обязаны использовать сертифицированные средства.

2. Если государственные учреждения применяют шифровальные (криптографические) средства, то последние должны иметь сертификат.

Основным механизмом обеспечения юридической значимости электронных документов в соответствии с Федеральным Законом «Об Электронной цифровой подписи» («Об ЭЦП») является электронная цифровая подпись.

Закон «Об ЭЦП» все информационное пространство разделяет на две части:

- информационная система общего пользования - информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано;

- корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.

Данное разделение имеет важное значение для разрешения вопроса относительно лицензирования и сертификации использования средств ЭЦП. Использование средств ЭЦП регулируется статьей 5 Закона "Об ЭЦП". Согласно пункту 2 данной статьи "при создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства ЭЦП". При этом возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств.

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11

Правила пользования Сайтом
Правила публикации материалов
Политика конфиденциальности и обработки персональных данных

При перепечатке материалов ссылка на pandia.org обязательна.
Минимальная ширина экрана монитора для комфортного просмотра сайта: 1200 пикселей.
Сайт не содержит автоматически сгенерированных данных и не принимает подобные материалы.

Мы признательны за найденные неточности в материалах, опечатки, некорректное отображение элементов на странице - отправляйте на [email protected]

Концепция «инфраструктуры доверия» в исполнительных органах государственной власти Томской области (стр. 3 )

5.1 Правовые аспекты

5.1.1 Требования законодательства Российской Федерации

Домашний очаг

Справочная информация

Техника

Общество

Образование и наука

Мир

Бизнес и финансы