О необходимости применения шифровальных (криптографических) средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия
Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» в ч.6 ст.16 закреплено, что федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации. Указанные ограничения касаются, в том числе, применения шифровальных (криптографических) средств защиты информации (далее – СКЗИ), не прошедших в установленном порядке процедуру оценки соответствия.
Федеральный закон от 27.12.2002 № 184-ФЗ «О техническом регулировании» (далее – 184-ФЗ) в ст.2 определил, что оценка соответствия это прямое или косвенное определение соблюдения требований, предъявляемых к объекту. Согласно ч.3 ст.7 184-ФЗ оценка соответствия проводится в формах государственного контроля (надзора), испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме. Подтверждение соответствия (ст.2 184-ФЗ) - это документальное удостоверение соответствия продукции или иных объектов, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров. Подтверждение соответствия (ст.20 184-ФЗ) может носить добровольный (в форме добровольной сертификации) или обязательный характер (в форме декларирования соответствия и в форме обязательной сертификации).
Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне» в ч.1 ст.28 определил, что средства защиты информации (технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации) должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. «Положение о сертификации средств защиты информации» (утв. постановлением Правительства РФ от 26.06.1995 № 608 «О сертификации средств защиты информации») устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом. Кроме того, в настоящий момент «Положение о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации СЗИ-ГТ)» (утв. приказом ФСБ РФ от 13.11.1999 № 564) устанавливает основные принципы, организационную структуру системы сертификации СЗИ-ГТ, порядок проведения сертификации этих средств, порядок регистрации сертифицированных средств, а также порядок проведения инспекционного контроля за сертифицированными средствами.
В соответствии с требованиями п.3 ч.2 ст.19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обеспечение безопасности персональных данных достигается, в частности, применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации. «Требования к защите персональных данных при их обработке в информационных системах персональных данных» (утв. постановлением Правительства РФ от 01.11.2012 № 1119) в пп.«г» п.13 определяют, что для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах персональных данных необходимо использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. Данное требование также является действующим в отношении обеспечения 1-го, 2-го и 3-го уровней защищенности персональных данных при их обработке в информационных системах персональных данных. При обеспечении безопасности обработки персональных данных следует применять, в том числе, СКЗИ, сертифицированные в системе сертификации СКЗИ ФСБ РФ «РОСС RU.0001.030001».
Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» в п.9 ст.2 устанавливает, что средства электронной подписи - это шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций – создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи. В п.6 «Требований к средствам электронной подписи» (утв. приказом ФСБ РФ от 27 декабря 2011 г. № 796) закреплено, что к средствам электронной подписи в части их разработки, производства, реализации и эксплуатации предъявляются требования, закрепленные «Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» (утв. приказом ФСБ РФ от 9 февраля 2005 г. № 66). Положение ПКЗ-2005 (п.10) определяет, что СКЗИ должны удовлетворять требованиям технических регламентов, оценка выполнения которых осуществляется в порядке, определяемом 184-ФЗ.
Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе» в ч.3 ст.27 установил, что операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России. «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (утв. Банком России 09.06.2012 № 382-П) в п.2.9.1. указывает на то, что работы по обеспечению защиты информации с помощью СКЗИ проводятся, в том числе, в соответствии с Положением ПКЗ-2005. Согласно п.2.9.1 СКЗИ российского производителя, применяемые для защиты информации при осуществлении переводов денежных, должны иметь сертификаты уполномоченного государственного органа.