Расширенный поиск

Обзор законодательства Республики Молдова в сфере информационной безопасности. Часть 6: Криптографическая защита информации

Деятельность в области криптографии (шифрования) ограничена как при ее осуществлении на территории Молдовы, так и при ввозе и вывозе криптографических средств. Согласно национальному законодательству, практически все виды деятельности в области криптографии подлежат лицензированию. Закон о лицензировании отдельных видов деятельности содержит перечень видов деятельности, для занятия которыми необходимо получить лицензию. В их числе – импорт, экспорт, разработка, производство и реализация криптографических и технических средств защиты информации, специальных технических устройств, предназначенных для негласного получения информации, предоставление услуг в области криптографической и технической защиты информации (кроме деятельности, осуществляемой органами публичной власти, наделенными таким правом согласно закону).

Оглавление (показать/скрыть)
Часть 1: Концепция информационной безопасности Молдовы
Часть 2: Персональные данные, личная и семейная тайна
Часть 3: Государственная тайна
Часть 4: Коммерческая тайна
Часть 5: Иные виды тайн
Часть 6: Криптографическая защита информации
Часть 7: Техническая защита информации
Часть 8: Прослушка и другие специальные розыскные мероприятия
Часть 9: Борьба с киберпреступностью

Положение о лицензировании деятельности по предоставлению услуг в сфере криптографической защиты информации, вступившее в силу в октябре 2017 года, регулирует деятельность по предоставлению услуг в сфере криптографической защиты информации, не отнесенной к государственной тайне. В него включены основные понятия в данной области. Под криптографической защитой информации понимается комплекс мер, направленных на обеспечение конфиденциальности и целостности информации, осуществляемых путем криптографического преобразования информации. Криптографическое преобразование информации – преобразование информации посредством определенного криптографического алгоритма с использованием криптографических ключей с целью защиты информации от несанкционированного доступа, а также подтверждения автором ее подлинности, целостности и качества.

Средства криптографической защиты информации – технические и/или программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты целостности и конфиденциальности информации при ее обработке, хранении и передаче по каналам электронных коммуникаций, а также реализующие генерирование, создание, распределение или администрирование криптографических ключей. К средствам криптографической защиты информации относятся:

  • средства шифрования;
  • средства защиты от навязывания ложной информации;
  • устройства для создания и/или проверки электронной подписи и приложения, связанные с электронной подписью;
  • средства генерации криптографических ключей.

Средства шифрования – технические и/или программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации, передаваемой по каналам электронных коммуникаций, и/или для защиты информации от несанкционированного доступа при обработке и хранении информации. Средства защиты от навязывания ложной информации – технические и/или программные средства, системы и комплексы, реализующие криптографические алгоритмы и предназначенные для защиты от навязывания ложной информации.

Конфиденциальность в данном контексте определяется как свойство информации в рамках системы, состоящее в ее недоступности и скрытии от неавторизованных лиц, организаций или процессов. Шифрование – процесс преобразования информации в цифровое сообщение согласно правилам, определенным криптографическим алгоритмом. Криптографический ключ – элемент шифра, используемого для зашифровывания/расшифровывания сообщения, для применения и подтверждения электронной подписи, вычисления кодов аутентичности. Целостность – свойство информации в рамках системы, состоящее в ее достоверности, идентифицируемости и защищенности от изменения, в том числе в случае умышленных или непредумышленных действий с целью изменения или уничтожения информации.

Деятельность по предоставлению услуг в сфере криптографической защиты информации включает:

  • оцифровывание информации путем использования средств криптографической защиты информации в интересах физических и юридических лиц;
  • защиту информации путем использования средств защиты от навязывания ложной информации в интересах физических и юридических лиц;
  • предоставление в распоряжение физических и юридических лиц сетей связи, защищенных средствами криптографической защиты информации, а также отдельных средств шифрования;
  • генерацию и распределение криптографических ключей, в том числе для электронной подписи;
  • монтаж, демонтаж, внедрение, наладку, обслуживание, ремонт средств криптографической защиты информации;
  • разработку информационных и телекоммуникационных систем, защищенных с использованием средств криптографической защиты информации.

Данные правила не применяются:

  • к средствам криптографической защиты информации, являющейся частью операционных систем и прикладных программ, криптографические функции которых не могут быть изменены;
  • к банковским картам со встроенными микрочипами, криптографические функции которых не могут быть изменены;
  • к средствам криптографической защиты, разработанным и используемым для банкоматов, криптографические функции которых не могут быть изменены;
  • к средствам криптографической защиты фискальной памяти, разработанным и используемым для кассовых аппаратов;
  • к средствам криптографической защиты, в которых реализуются симметричные криптографические алгоритмы и используются криптографические ключи длиной до 56 бит включительно;
  • к средствам криптографической защиты, в которых реализуются асимметричные криптографические алгоритмы и используются криптографические ключи длиной до 128 бит включительно.

Предоставление услуг в сфере криптографической защиты информации происходит на основании письменного договора, подписанного обеими сторонами. Проверка соответствия соискателя лицензии и контроль за соблюдением лицензиатом условий лицензирования для деятельности по предоставлению услуг в сфере криптографической защиты информации осуществляются Агентством государственных услуг совместно со Службой информации и безопасности.

Лицензирование деятельности в области криптографии

Регламентация криптографических средств защиты информации, предназначенных для защиты отнесенных к государственной тайне сведений, осуществляется посредством Закона о государственной тайне. Служба информации и безопасности организует и координирует сертификацию и экспертизу средств криптографической и технической защиты государственной тайны. Техническая и криптографическая защита сведений, отнесенных к государственной тайне, осуществляется в порядке, определенном в Положении об обеспечении режима секретности в рамках органов публичной власти и других юридических лиц.

Средства защиты сведений, отнесенных к государственной тайне, должны иметь сертификат, подтверждающий их соответствие требованиям по защите сведений соответствующей степени секретности. Организация и координация сертификации и экспертизы средств защиты таких сведений возлагаются на Службу информации и безопасности. Сертификация происходит в соответствии с нормативными актами в данной области и национальными стандартами Республики Молдова. Сертификация технических и криптографических средств защиты государственной тайны осуществляется бесплатно, на неограниченный срок.

Лицензирование деятельности по защите информации, не отнесенной к государственной тайне, в той части, которая не урегулирована в Законе о государственной тайне, осуществляется в соответствии с Законом о регулировании предпринимательской деятельности путем разрешения. Лицензия на осуществление деятельности по защите информации может выдаваться на основании запроса соискателя для одного или нескольких специфических видов деятельности:

  • импорт, экспорт, разработка, производство и реализация специальных технических средств, предназначенных для негласного получения информации (за исключением деятельности, осуществляемой органами публичной власти, наделенными таким правом согласно закону);
  • предоставление услуг в сфере криптографической защиты информации (за исключением деятельности по защите государственной тайны);
  • предоставление услуг в сфере технической защиты информации (за исключением деятельности по защите государственной тайны).

Для получения или продления лицензии соискатель подает в Агентство государственных услуг следующие документы:

  • заявление, в котором указываются сведения о предприятии, организации либо соискателе – физическом лице; вид деятельности, для которого запрашивается лицензия; принятие на себя ответственности за соблюдение лицензионных условий и за подлинность представленных документов;
  • копия документа на право собственности или договора найма недвижимости, где будет осуществляться лицензируемая деятельность;
  • копии документов об образовании специалистов в соответствующей области.

В день регистрации заявки и пакета документов лицензирующий орган извещает об этом Службу информации и безопасности, с тем чтобы удостовериться в соответствии условий деятельности соискателя установленным требованиям, запросить и получить необходимые для запрашиваемой деятельности разрешения. В срок не более 10 рабочих дней со дня извещения Служба информации и безопасности направляет лицензирующему органу разрешение или протокол контроля о результатах проведенной проверки, а также копию разрешения, выданного по результатам контроля. Если после извещения Служба информации и безопасности не направила разрешение или не инициировала контроль и не выдала протокол контроля в течение 10 рабочих дней, вступает в силу принцип молчаливого согласия.

В случае получения отказа в выдаче разрешения Службой информации и безопасности лицензирующий орган вправе отказать в выдаче лицензии. Приостановление, отзыв и переоформление лицензии происходят в соответствии с Законом о регулировании предпринимательской деятельности путем разрешения. Лицензия выдается сроком на пять лет.

Деятельность в области криптографии на территории Молдовы

В целях лицензирования и осуществления деятельности по предоставлению услуг в сфере криптографической защиты информации соискатель лицензии и лицензиат должны соблюдать следующие условия:

  • наличие статуса юридического или физического лица, зарегистрированного в качестве предпринимателя;
  • осуществление лицензируемой деятельности в соответствии с действующим законодательством и стандартами в этой сфере;
  • осуществление лицензируемой деятельности по правилам, установленным лицензирующим органом и отраслевым органом публичной власти;
  • представление по запросу Службы информации и безопасности перечня средств криптографической защиты информации, используемых в лицензируемой деятельности, технической документации и/или образцов этих средств;
  • использование импортных средств криптографической защиты информации при условии, что они введены на рынок и реализуются на территории Молдовы в порядке, установленном действующим законодательством;
  • наличие на праве собственности или во владении технических и/или программных средств для использования в лицензируемой деятельности;
  • применение в лицензируемой деятельности криптографических алгоритмов, утвержденных в качестве национальных и международных стандартов или принятых отраслевым органом публичной власти;
  • наличие на праве собственности или во владении помещений, необходимых для надлежащего осуществления лицензируемой деятельности, соответствующих нормам гигиены, техники безопасности и охраны окружающей среды, установленным действующим законодательством;
  • обеспечение режима конфиденциальности в лицензируемой деятельности, которым предусматривается неразглашение информации о заказчике услуг и содержании предоставляемых услуг без его согласия. Эта информация должна предоставляться только правоохранительным и контрольным органам в соответствии с действующим законодательством;
  • хранение информации, касающейся средств криптографической защиты информации, в сейфах;
  • разработка и утверждение в течение месяца после выдачи лицензии внутреннего регламента, определяющего организационные условия лицензируемой деятельности, порядок учета, хранения, передачи и уничтожения средств криптографической защиты информации и технической документации;
  • организация внутреннего режима таким образом, чтобы исключить возможность несанкционированного доступа к средствам криптографической защиты информации;
  • обеспечение строгого учета СКЗИ с ведением документации по использованию, предоставлению этих средств заказчику и их уничтожению;
  • наличие у лиц, непосредственно занятых лицензируемой деятельностью, высшего образования в сфере криптографической защиты информации, либо иного высшего образования и вместе с тем образования по программам повышения квалификации в сфере криптографической защиты информации, либо высшего образования и по меньшей мере трехлетнего трудового стажа в сфере криптографической защиты информации. Уровень знаний этих лиц должен соответствовать требованиям, указанным в пунктах 9 и 10, и подтверждается свидетельством об окончании специализированных курсов в сфере криптографической защиты информации;
  • прямое установление внутренним актом подразделения и лиц, непосредственно занятых лицензируемой деятельностью;
  • утверждение организационной структуры, штатного расписания и должностных инструкций каждого специалиста;
  • обеспечение периодического повышения квалификации лиц, непосредственно занятых лицензируемой деятельностью;
  • обеспечение учета и хранения носителей криптографических ключей, регистрация выдачи, возврата и уничтожения криптографических ключей в специальных реестрах;
  • обеспечение раздельного хранения носителей криптографических ключей и резервных носителей в случае, если их существование связано с технической и технологической процедурой;
  • обслуживание оборудования, используемого в лицензируемой деятельности, в соответствии с рекомендациями инструкции по эксплуатации;
  • предоставление в распоряжение заказчика технической документации и необходимой информации по использованию средств криптографической защиты информации;
  • обеспечение необходимых условий для проведения компетентными органами контроля за выполнением лицензируемого вида деятельности.

Лица, непосредственно занимающиеся деятельностью по предоставлению услуг в сфере криптографической защиты информации, должны знать:

  • положения действующих нормативных актов о криптографической защите информации;
  • положения действующих нормативных актов об электронной подписи;
  • национальные и международные стандарты (ISO, NIST) в сфере криптографической защиты информации;
  • национальные и международные стандарты (ISO, NIST, CWA) в сфере электронной подписи;
  • основные понятия в сфере криптографической защиты информации: криптографическое преобразование информации; генерация, распределение и защита криптографических ключей; противодействие возможным угрозам для безопасности криптографических ключей; методы генерации случайных или псевдослучайных битов; технологии защиты от навязывания ложной информации;
  • основные понятия в сфере электронной подписи: методы и области применения электронной подписи, технологии создания электронной подписи, противодействие фальсификации электронной подписи, организация инфраструктуры публичных ключей;
  • интерфейсы взаимодействия информационной системы с криптографическим режимом;
  • языки программирования с целью реализации криптографических алгоритмов в случае предоставления соответствующих услуг.

Лица, непосредственно осуществляющие деятельность по предоставлению услуг в сфере криптографической защиты информации, должны быть способны:

  • готовить, планировать и организовывать процесс предоставления услуг в сфере криптографической защиты информации и электронной подписи;
  • использовать криптографические методы защиты информации и электронной подписи;
  • осуществлять анализ информационных систем с криптографическими режимами с целью оценки соответствия уровня защиты информации;
  • изменять параметры конфигурации криптографических режимов для обеспечения необходимой защиты информационной системы и обеспечения ее функциональности;
  • изучать средства криптографической защиты информации для анализа правильности их функционирования;
  • устранять ошибки, возникающие в процессе эксплуатации криптографических режимов.

Собственник, администратор и персонал, непосредственно занимающиеся деятельностью по предоставлению услуг в сфере криптографической защиты информации, не должны иметь судимость за преступления, совершенные в сфере информационных технологий и электронных коммуникаций.

Читать далее: Часть 7: Техническая защита информации

Об авторе

Digital Report

Digital Report рассказывает о цифровой реальности, стремительно меняющей облик стран Евразии: от электронных государственных услуг и международных информационных войн до законодательных нововведений и тенденций рынка информационных технологий.

Написать ответ

Send this to a friend

Перейти к верхней панели