Державне регулювання господарських відносин у сфері криптографічного захисту інформації в Україні

 

Згідно закону "Про ліцензування певних видів господарської діяльності", а також наказу Державного комітету України з питань регуляторної політики та підприємництва №8/216 діяльність, що пов'язана з розробкою, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного та технічного захисту інформації, а також з наданням послуг із криптографічного та технічного захисту інформації не може здійснюватися без ліцензії. Таким чином, за змістом зазначеного закону, наявність ліцензії потрібно не тільки для реалізації засобів криптографічного захисту, а також і для використання засобів криптографічного захисту в підприємницькій діяльності. Ліцензійні умови для даного виду діяльності встановлює документ під назвою "Ліцензійні умови провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису), торгівлі криптосистемами і засобами криптографічного захисту інформації", затвердженого наказом Державного комітету України з питань регуляторної політики та підприємництва, Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 26.01.2008 N 8/216.

Ліцензійні умови дають визначення основних термінів у сфері криптографії:

Криптографічний захист інформації - вид захисту, що реалізується за допомогою перетворень інформації з використанням спеціальних даних (ключових даних) з метою приховування (або відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства тощо.

засіб криптографічного захисту інформації - програмний, апаратно-програмний, апаратний або інший засіб, призначений для криптографічного захисту інформації[14].

Таким чином, поняття "засіб криптографічного захисту інформації" включає в себе наступні ознаки - це засіб, який призначено для криптографічного захисту інформації, тобто для виду захисту, який:

Реалізується за допомогою перетворень інформації з використанням спеціальних даних (ключових даних).

Метою такого захисту є:

. приховування або відновлення змісту інформації;

. підтвердження автентичності інформації;

. підтвердження цілісності інформації;

. підтвердження авторства інформації;

. підтвердження "тому подібного";

Виражається у формі:

. програмним;

. апаратно-програмним;

. апаратним;

. іншим[14].

Звичайно, слід зазначити що застосування фрази "тощо" є неприпустимим, а "інші" небажаним при визначенні термінів, що мають нормативне значення.

Подібні визначення завжди створюють широке поле для зловживань чиновників, оскільки такий термін уже "за визначенням" є невизначеним.

Однак п.2. Ліцензійних умов кілька конкретизує поняття "засоби криптографічного захисту, встановлюючи, що до засобів криптографічного захисту інформації належать:

Апаратні, програмні та апаратно-програмні засоби, що реалізують криптографічні алгоритми перетворення інформації;

Апаратні, програмні та апаратно-програмні засоби, системи і комплекси захисту від нав'язування неправдивої інформації, включаючи засоби імітозахисту і електронного підпису, що реалізують криптографічні алгоритми перетворення інформації;

Апаратні, програмні та апаратно-програмні засоби, системи і комплекси, призначені для виготовлення та розподілу ключових документів, які використовуються в засобах криптографічного захисту інформації, незалежно від виду носія ключової інформації;

Системи і комплекси (у тому числі ті, які входять до системи та комплекси захисту інформації від несанкціонованого доступу НСД), до складу яких входять апаратні, програмні та апаратно-програмні засоби, що реалізують криптографічні алгоритми перетворення інформації.

На жаль, "Ліцензійні умови" не дають визначення поняттю криптографічні алгоритми перетворення інформації.

Ліцензія видається на вид підприємницької діяльності, пов'язаної з розробкою, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного захисту інформації, а також з наданням послуг із криптографічного захисту інформації. Ліцензії видає Департамент спеціальних телекомунікаційних систем та захисту інформації СБ України (надалі Департамент).

На підставі ліцензії можуть виконуватись наступні види робіт:

Розробка криптоалгоритмів, криптопротоколів.

Розробка апаратних засобів криптографічного захисту інформації на підставі криптографічних алгоритмів, які є державними стандартами або рекомендовані Департаментом.

Розробка програмних засобів криптографічного захисту інформації на підставі криптографічних алгоритмів, які є державними стандартами або рекомендовані Департаментом.

Розробка апаратно-програмних засобів криптографічного захисту інформації на підставі криптографічних алгоритмів, які є державними стандартами або рекомендовані Департаментом.

Розробка апаратних засобів криптографічного захисту інформації на підставі власних криптографічних алгоритмів.

Розробка програмних засобів криптографічного захисту інформації на підставі власних криптографічних алгоритмів.

Розробка апаратно-програмних засобів криптографічного захисту інформації на підставі власних криптографічних алгоритмів.

Розробка захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.

Розробка обладнання криптографічного захисту інформації.

Розробка систем і засобів генерації, тестування та управління розподілом разових (сеансових) ключів.

Проведення сертифікаційних випробувань (тематичних досліджень) засобів криптографічного захисту інформації.

Виготовлення апаратних засобів криптографічного захисту інформації.

Виготовлення програмних засобів криптографічного захисту інформації.

Виготовлення апаратно-програмних засобів криптографічного захисту інформації.

Виготовлення захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.

Виготовлення обладнання криптографічного захисту інформації.

Виготовлення систем та засобів генерації, тестування та управління розподілом разових (сеансових) ключів.

Ввезення на територію України, в тому числі і імпорт засобів криптографічного захисту інформації (їх частин, нормативно-технічної документації).

Ввезення на територію України, в тому числі і імпорт захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.

Вивезення з України, в тому числі і експорт засобів криптографічного захисту інформації (їх частин, нормативно-технічної документації).

Вивезення з України, в тому числі і експорт захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.

Реалізація засобів криптографічного захисту інформації.

Реалізація захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.

Реалізація обладнання криптографічного захисту інформації.

Використання засобів криптографічного захисту інформації.

Використання захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.

Надання послуг з шифрування інформації.

Надання консультативних послуг з питань криптографічного захисту інформації.

Монтаж (встановлення) та демонтаж засобів криптографічного захисту інформації та обладнання криптографічного захисту інформації.

Монтаж (встановлення) захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.

Налагодження засобів криптографічного захисту інформації.

Налагодження захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.

Ремонт (сервісне обслуговування) та підтримка засобів криптографічного захисту інформації.

Ремонт (сервісне обслуговування) захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації[14].

Видача ліцензій здійснюється в порядку передбаченому Положенням "Про порядок ліцензування підприємницької діяльності", затв. Пост. КМ України N 1020 від 03.06.1998 р.

Для отримання ліцензії суб'єкт підприємницької діяльності подає до Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України заяву за формою встановленою Додатком 1 до Положення "Про порядок ліцензування підприємницької діяльності". У заяві зазначаються:

Відомості про заявника:

Для громадянина-підприємця - прізвище, ім'я, по батькові та паспортні дані (серія та номер, ким і коли виданий), місце проживання, ідентифікаційний номер фізичної особи - платника податків та інших обов'язкових платежів;

Для юридичних осіб - найменування, місце знаходження, банківські реквізити, організаційно-правова форма, ідентифікаційний код;

Вид діяльності, на який заявник має намір одержати ліцензію;

Термін дії ліцензії[18].

До заяви додаються такі документи:

Підприємцями-громадянами - копії документів, які свідчать рівень освіти і кваліфікації, необхідний для провадження відповідного виду діяльності, копія свідоцтва про державну реєстрацію суб'єкта підприємницької діяльності;

Юридичними особами - копії свідоцтва про державну реєстрацію суб'єкта підприємницької діяльності та установчих документів.

Всі представлені заявником документи формуються в окрему справу.

Орган, що видає ліцензії, приймає рішення про видачу ліцензії або про відмову у її видачі протягом не більше ніж 30 днів з дня отримання заяви та відповідних документів. У разі необхідності проводиться перевірка відомостей, які містяться в цих документах, та спроможності виконання заявником ліцензійних умов на проведення того виду підприємницької діяльності, на який видається ліцензія.

Ліцензія видається не пізніше трьох днів з дня прийняття рішення про її видачу за умови подання заявником до органу, що видає ліцензію, документа про внесення плати за її видачу. Розміри плати за видачу ліцензій встановлено Постановою КМ України від 04.01.99 N 6 "Про розміри і порядок зарахування плати за видачу та переоформлення ліцензій на провадження певних видів підприємницької діяльності". Розміри плати за видачу ліцензії на право здійснення діяльності, пов'язаної з розробкою, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного та технічного захисту інформації, а також з наданням послуг із криптографічного та технічного захисту інформації для юридичних осіб становить 12 неоподатковуваних податками мінімумів доходів громадян, для громадян-підприємців - 2 неоподатковуваних податками мінімуму доходу громадян.

В даний час неоподатковуваний мінімум доходів громадян становить 17 грн. При цьому не слід забувати що згідно ст. 11 Указу Президента України 23.07.98 р. N 817 / 98 "Про деякі заходи з дерегулювання підприємницької діяльності" органи, що здійснюють реєстрацію суб'єктів підприємницької діяльності або видають ліцензії на здійснення окремих видів підприємницької діяльності, а також видають інші дозволи, передбачені законодавством, не можуть ставити як умову реєстрації чи видачі ліцензій та інших дозволів, відрахування коштів на користь яких би то не було бюджетних або позабюджетних фондів, установ, підприємств, організацій чи окремих осіб.

Плата, яка вноситься суб'єктом підприємницької діяльності за видачу та переоформлення ліцензії, зараховується до Державного бюджету України і вноситься на балансові рахунки територіальних органів Державного казначейства N 3510 "Кошти Державного бюджету України" в установах Національного банку та N 2510 - в установах комерційних банків за місцем проведення діяльності підприємця (код бюджетної класифікації 14060200, символ звітності банку 069).

У видачі ліцензії може бути відмовлено у разі виявлення недостовірних відомостей у документах, поданих заявником, а також у разі неможливості проведення заявником певного виду підприємницької діяльності відповідно ліцензійним умовам. У рішенні про відмову у видачі ліцензії, яке видається заявнику в письмовій формі у термін не пізніше 30 днів з дня отримання заяви, зазначаються підстави відмови.

Рішення про відмову у видачі ліцензії може бути оскаржено в судовому порядку.

Продовження дії ліцензії проводиться у порядку, встановленому для її отримання.

Орган, що видає ліцензії, має право зупинити дію ліцензії у разі:

Порушення суб'єктом підприємницької діяльності ліцензійних умов передбачених в законі;

Невиконання суб'єктом підприємницької діяльності у визначений термін розпоряджень Ліцензійної палати або органу, який видав ліцензію, щодо дотримання ліцензійних умов.

У разі своєчасного усунення порушень, що призвели до зупинення дії ліцензії, орган, який видав ліцензію, приймає рішення про поновлення її дії.

Орган, який видав ліцензію, має право анулювати ліцензію у разі:

Виявлення недостовірних відомостей у заяві на видачу ліцензій або в документах, що додаються до неї;

Передачі суб'єктом підприємницької діяльності ліцензії іншій особі;

Повторного або грубого порушення суб'єктом підприємницької діяльності ліцензійних умов.

Ліцензія вважається анульованою з дати прийняття рішення про її анулювання або з дати скасування державної реєстрації суб'єкта підприємницької діяльності.

Мотивоване рішення про зупинення дії ліцензії або її анулювання доводиться у письмовій формі до відома суб'єкта підприємницької діяльності у 5-денний термін.

Копія рішення про зупинення дії ліцензії, її анулювання та про поновлення дії ліцензії надсилається до податкового органу за місцезнаходженням суб'єкта підприємницької діяльності для прийняття відповідного рішення.

Рішення про зупинення дії ліцензії або її анулювання може бути оскаржене суб'єктом підприємницької діяльності в судовому порядку.

У разі здійснення підприємницької діяльності без ліцензії громадянин або винна посадова особа підприємства можуть бути притягнуті до адміністративної відповідальності за ст. 164 Кодексу про адміністративні правопорушення України "Порушення порядку провадження господарської діяльності": "Провадження господарської діяльності без державної реєстрації як суб'єкта господарювання або без одержання ліцензії на провадження певного виду господарської діяльності, що підлягає ліцензуванню відповідно до закону, чи здійснення таких видів господарської діяльності з порушенням умов ліцензування, а так само без одержання дозволу, іншого документа дозвільного характеру, якщо його одержання передбачене законом (крім випадків застосування принципу мовчазної згоди), тягне за собою накладення штрафу від двадцяти до ста неоподатковуваних мінімумів доходів громадян з конфіскацією виготовленої продукції, знарядь виробництва, сировини і грошей, одержаних внаслідок вчинення цього адміністративного правопорушення, чи без такої[19]."

У відповідності зі ст. 218 КпАП України справи про адміністративні правопорушення передбачених ст. 164 КпАП розглядають адміністративні комісії при виконавчих комітетах районних, міських, районних у містах Рад народних депутатів. Якщо таке правопорушення буде скоєно повторно протягом року після накладення адміністративного стягнення, винна особа може бути притягнута до кримінальної відповідальності за ст. 148-3. КК України "Порушення порядку заняття підприємницькою діяльністю":

"Заняття підприємницькою діяльністю без державної реєстрації або без спеціального дозволу (ліцензії), отримання якого передбачено законодавством, якщо ці дії вчинено протягом року після накладення адміністративного стягнення за такі ж порушення, караються штрафом до двохсот мінімальних розмірів заробітної плати з позбавленням права займати певні посади або займатися певною діяльністю на строк до трьох років[20]."

Для здійснення деяких видів діяльності в Україні у відповідності з законодавством використання криптографічних засобів захисту інформації є обов'язковим.

Так, у відповідності з Положенням про міжбанківські розрахунки в Україні, затв. Пост. НБУ № 414 від 08.10.98 р. використання криптозахисту електронних банківських документів є обов'язковим для банків, які є учасниками системи електронних платежів (СЕП) Національного банку України. Виконання вимог щодо захисту банківської інформації є обов'язковим для всіх банків - учасників СЕП. Система захисту електронних розрахункових документів складається з комплексу апаратно-програмних засобів криптографічного захисту та ключової системи до них, технологічних і організаційних заходів щодо захисту інформації в інформаційно-обчислювальної мережі. Апаратно-програмні засоби криптографічного захисту інформації СЕП надаються комерційним банкам (філіям) службою захисту інформації того регіонального управління Національного банку, де територіально розташований комерційний банк (філія), на підставі Договору про використання криптографічних засобів захисту інформації в інформаційно-обчислювальної мережі Національного банку України (зразок договору наведений у додатку № 5 до Положення про міжбанківські розрахунки в Україні). Ці кошти забезпечують аутентифікацію адресата і відправника електронних розрахункових документів і службових повідомлень СЕП, гарантують їх абсолютну достовірність та цілісність через неможливість підробки або викривлення документів у шифрованому вигляді або за наявності електронного цифрового підпису.

Відповідно до Положення про розрахунково-клірингову діяльність, затвердженим рішенням Державної комісії з цінних паперів та фондового ринку 27.01.98 р. N 11-а депозитарій забезпечує функціонування системних та програмно-технічних засобів захисту інформації, до яких повинно відноситися, зокрема, і "криптографічний захист інформації в процесі збирання, одержання, заощадження і передачі каналами зв'язку".