КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Правоприменительная практика ЭЦП в органах государственной власти ООО «КРИПТО-ПРО» Коммерческий директор Маслов Юрий Геннадьевич Заместитель коммерческого директора Фураков Александр Владимирович

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Общие положения ЭЦП - как средство защиты информации Статья 14 Федерального закона 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации» информационные системы: Системы, эксплуатирующиеся государственными органами власти, определяются как государственные системы; Статья 16 Федерального закона от 27 июля 2006 года 149-ФЗ «Об информации, информационных технологиях и о защите информации» Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются уполномоченными на то федеральными исполнительными органами государственной власти (ФСБ России, ФСТЭК России); При создании и эксплуатации государственных информационных систем, используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации УФО в области обеспечения безопасности Статья 2 Федерального закона от 3 апреля 1995 года 40-ФЗ «О федеральной службе безопасности»: Федеральным органом исполнительной власти в области обеспечения безопасности определена ФСБ России. Статья 11.2 Федерального закона от 3 апреля 1995 года 40-ФЗ «О федеральной службе безопасности»: В компетенции ФСБ России находится обеспечение информационной безопасности с использованием криптографических средств Криптография – это дело ФСБ

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Средства ЭЦП и криптография Постановление Правительства Российской Федерации от 29 декабря 2007 г. N 957. Каждым из Положений о лицензировании установлено: средства ЭЦП относятся к шифровальным (криптографическим) средствам. А значит: Государственное регулирование применения шифровальных (криптографических) средств, в том числе и средств ЭЦП (как шифровальных криптографических средств) осуществляется федеральным органом исполнительной власти в области обеспечения безопасности, т.е. ФСБ России

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Статья 17 Федерального закона от 8 августа ФЗ «О лицензировании отдельных видов деятельности» устанавливает: деятельность по разработке, производству шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем подлежит обязательному лицензированию. Соответственно: К организации, которая разрабатывает информационную систему, в которой применяется ЭЦП (в частности, выполнила встраивание средства ЭЦП в прикладное программное обеспечение информационной системы), предъявляется требование наличие у неё лицензии ФСБ России на право осуществления деятельности по разработке, производству защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем. Встраивание средств ЭЦП в прикладное программное обеспечение

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Встраивание средств ЭЦП в прикладное программное обеспечение А зачем же нужна такая норма?.. В своём основном виде средства криптографической защиты информации – это криптобиблиотеки (набор криптобиблиотек) и непосредственно сами по себе ничего не подпишут ЭЦП и не зашифруют. Должна появиться «программная оболочка», которая предоставит пользовательский интерфейс выполнения криптографических функций, реализует логику работы с криптографическими объектами (их создание, передачу, обработку, хранение). Для того, чтобы корректно реализовать все эти процессы, разработчик должен обладать определенным багажом знаний, опытом в создании такого рода систем. Порядок лицензирования определен «Положением о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем», утвержденного Постановлением Правительства Российской Федерации от 29 декабря 2007 г. N 957.

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Встраивание средств ЭЦП в прикладное программное обеспечение Непосредственный контроль со стороны ФСБ (есть или нет) Приказ ФСБ России от 9 февраля 2005 г. N 66 (зарегистрирован в Минюсте РФ 3 марта 2005 г. N 6382) «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ- 2005)». Статья 4 «Положения ПКЗ-2005)»: требования Положения ПКЗ-2005 носят рекомендательный характер при разработке, производстве, реализации и эксплуатации средств электронной цифровой подписи, предназначаемых для использования в электронном документообороте, информация которого не относится к информации конфиденциального характера.

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Использование средств ЭЦП Непосредственный контроль со стороны ФСБ (есть или нет) Приказ ФСБ России от 9 февраля 2005 г. N 66 (Положение ПКЗ-2005)». Статья 51 Положения ПКЗ-2005: контроль за соблюдением правил пользования средств ЭЦП и условий их использования, указанных в правилах пользования на них, осуществляется ФСБ России в рамках контроля за организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи; Статья 52 Положения ПКЗ-2005: государственный орган вправе, но не обязан, обратиться в ФСБ России с просьбой о проведении контроля за соблюдением правил пользования средств ЭЦП и условий их использования, указанных в правилах пользования средствами ЭЦП, в информационной системе.

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Использование ЭЦП ЭЦП - средство обеспечения юридической значимости Основной нормативно-правовой документ: Федеральный закон от 10 января 2002 года 1-ФЗ «Об электронной подписи». Основной недостаток – многовато отсылочных норм… В частности: В соответствии со статьей 3 Федерального закона от 10 января 2002 года 1-ФЗ «Об электронной подписи», информационная система государственного органа классифицируется как корпоративная информация система т.к. согласно определения из указанного закона, корпоративная информационная система – это информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы. А, следовательно, с учётом статьи 17 Федерального закона от 10 января 2002 года 1-ФЗ «Об электронной подписи», порядок использования ЭЦП устанавливается организатором системы (ОГВ)

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Использование ЭЦП Остаётся только определить порядок использования ЭЦП, а именно: конкретизация условий равнозначности ЭЦП собственноручной подписи; кто выступает в системе в качестве удостоверяющего центра; какие средства ЭЦП используются в системе; какие типы документов в электронной форме удостоверяются ЭЦП и применяются к исполнению или к сведению; порядок разрешения конфликтов/споров, связанных с применением ЭЦП.

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Удостоверяющий центр Основной нормативно-правовой документ, определяющий деятельность Удостоверяющего центра: Федеральный закон от 10 января 2002 года 1-ФЗ «Об электронной подписи». 1.Создать свой УЦ2. Воспользоваться услугами стороннего

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Фураков Александр