Правовое регулирование использования средств КЗИ в Украине

17 июня 2010 года

Дмитрий Гадомский,

Правовое регулирование использования средств КЗИ в Украине2 © 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш»

Cryptography is everywhere (1)

• защита информации на USB-

накопителях и жестких дисках;

• защита от несанкционированного

использования компьютером, PDA,

смартфоном (к примеру, с помощью

пароля или отпечатков пальцев);

• доступ в Интернет с помощью

защищенной связи (https);

• создание защищенного соединения

с помощью VPN;

• электронная цифровая подпись и

пр.

Средства КЗИ используются намного чаще, чем мы

предполагаем:

Правовое регулирование использования средств КЗИ в Украине3 © 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш»

Cryptography is everywhere (2)

Это только некоторые продукты,

в которых реализованы

средства КЗИ:

• Браузеры MS Internet Explorer,

Mozilla, Opera;

• Почтовые клиенты (напр. MS

Outlook);

• Средства защиты файлов на диске

TrueCrypt and Safeguard;

• Средство электронной цифровой

подписи PGP;

• VPN-клиент, встроенные в такие

операционные системы, как

Windows XP/Vista или Mac OS X, и

пр.

Правовое регулирование использования средств КЗИ в Украине4 © 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш»

Регулирование использования средств КЗИ в мире

В зависимости от национальных интересов разные

страны по разному регулируют использование средств

КЗИ:

• Многие страны устанавливают ограничения на использование средств

КЗИ внутри страны.

• Некоторые страны запрещают ввозить в страну средства КЗИ, не

ограничивая их использование внутри страны.

• Государственные органы некоторых стран могут требовать

предоставления доступа к средствам, в которых используется КЗИ: к

ноутбукам, КПК и пр.

Правовое регулирование использования средств КЗИ в Украине5 © 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш»

Три основных подхода к регулирования КЗИ в мире

2.

Предоставление

прав доступа

1. Ограничение

использования

3. Экспорт

товаров

двойного

назначения

• Польша - есть ограничения на импорт средств КЗИ, но эти ограничения

не касаются стандартных криптографических алгоритмов.

• Индия – есть ограничения касательно «железа»; в отношении ПО

ограничений нет.

• ЮАР - ограничивает лишь деятельность security service providers.

• Китай и страны бывшего СССР - ограничивают любые виды

использования средств КЗИ, если специальное разрешение на их

использование не было получено.

• При пересечении государственной границы или же в рамках уголовного

дела государственные органы могут потребовать от собственника

предоставления доступа (пароля) к зашифрованным данным.

• Указанные ограничения применяют: Нидерланды, Индия, Франция,

Бельгия, Австралия.

• Великобритания – отказ от предоставления доступа может привести к 2

годам заключения.

• США – регулирования КЗИ внутри страны нет, но есть строгие правила

на импорт.

• Некоторые особо сложные средства КЗИ могут применяться в военных

целях (товары двойного назначения).

• Многие страны устанавливают строгие правила в отношении

использования таких средств.

Правовое регулирование использования средств КЗИ в Украине6 © 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш»

Понятие «средств КЗИ» в украинском

законодательстве

Средство КЗИ - программное, аппаратно-программное,

аппаратное или иное средство, предназначенное для

криптографической защиты информации, а именно:

• средства, реализующие криптографические

алгоритмы преобразования информации;

• средства имитозащиты и электронной цифровой

подписи;

• системы и комплексы, в состав которых входят

средства КЗИ, и пр.

Правовое регулирование использования средств КЗИ в Украине7 © 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш»

Три уровня регулирования деятельности в сфере КЗИ

Уровень 1. Лицензирование

Любая деятельность в сфере КЗИ:

- 56 бит для симметричных алгоритмов;

- 512 бит для асимметричных алгоритмов;

- 112 бит для алгоритмов по эллиптичной кривой.

Уровень 2. Сертификация

Сертификация является обязательной для тех средств КЗИ, которые

подлежат обязательному экспортному контролю.

Уровень 3. Экспортный контроль

Обязательному экспортному контролю подлежат такие средства КЗИ:

- 56 бит для симметричных алгоритмов;

- 512 бит для асимметричных алгоритмов;

- 112 бит для алгоритмов по эллиптичной кривой.

- и пр.

Правовое регулирование использования средств КЗИ в Украине8 © 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш»

Признаки товаров двойного назначения, не подлежащих

экспортному контролю

Не подлежат экспортному контролю средства КЗИ, которые соответствуют всем

условиям:

1) пользователи самостоятельно не могут легко заменить криптографическую

функциональность;

2) разработанные для инсталляции пользователем без дальнейшей

значительной помощи со стороны поставщика;

3) в случае необходимости детальная информация о средствах КЗИ будет

доступной и по требованию ее можно будет предоставить уполномоченному

органу в стране экспортера.

4) доступность для общества посредством продажи без ограничений в пунктах

розничной торговли, предназначенных для чего-либо из приведенного ниже:

а. торговых операций в розницу;

б. торговых операций по почтовым заказам;

в. электронных торговых операций; или

г. торговых операций по телефонным заказам;

Решение о соответствии товаров условиям, перечисленным выше, принимается

Госэкспортконтролем на основании экспертного вывода Госспецсвязи.

Правовое регулирование использования средств КЗИ в Украине9 © 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш»

Что нужно, чтобы ввезти средство КЗИ в Украину?

Лицензия

Сертификат

соответствия

(экспертный

вывод) Экспортный

контроль

Лицензия на

импорт дисков*

Контрольная

марка (или

лицензия СБУ)*

1,5 года

Правовое регулирование использования средств КЗИ в Украине10 © 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш»

Процедура прохождения сертификации и экспортного

контроля

Госорган

Госэкспортконтроль

Необходимые действия

Госспецсвязи

Госспецсвязи

• Получение заключения о соответствии

программного обеспечения признакам средств

КЗИ

• Регистрация импортера субъектом

осуществления международных передач

товаров

• Прохождение основной экспертизы

• Получение разрешения на осуществление

международной передачи товаров

• Рассмотрение заявления на прохождение

экспертизы на соответствие программного

обеспечения госстандартам Украины

• Прохождение экспертизы (сертификации)

• Получение экспертного заключения

(сертификата соответствия)

Время

• Около 30 дней

• 1-2 недели

• Около 30 дней

• 30 дней

• От 1 до 12 месяцев

• 2 месяца

Правовое регулирование использования средств КЗИ в Украине11 © 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш»

Планируемые изменения в связи со вступлением Украины в

ВТО

• При вступлении в ВТО Украина приняла на

себя обязательство упростить ввоз в

Украину и использование средств КЗИ.

• Первым шагом было ограничение в начале

2010 года лицензирования.

• Также планируется:

• частичная отмена обязательной

сертификации средств КЗИ;

• внедрение дифференцированного

подхода к определению средств КЗИ,

подлежащих обязательной

государственной экспертизе; а также

• Упрощение процедуры импорта средств

КЗИ и другого оборудования с

функциями КЗИ.

Правовое регулирование использования средств КЗИ в Украине12 © 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш»

Какие изменения нужны?

• Упрощение процедур сертификации для тех средств КЗИ, которые

используют стандартные и общедоступные алгоритмы

криптографии (например, Blowfish, AES).

• Полная отмена лицензирования.

• …?

• …?

End Use: tax and legal issues13 © 2010 PJSC “Deloitte & Touche USC”

Дмитрий Гадомский

Тел.: + 3 (044) 4909000

Моб.: + 3 (067) 7168538

E-mail: dgadomskiy@deloitte.com.ua

Факс: + 3 (044) 4909001

Назва «Делойт» відноситься до «Делойт Туш Томацу», об’єднанню фірм (Swiss Verein), зареєстрованому у відповідності

до швейцарського законодавства, а також до будь-яких з фірм, що входять до його складу, кожна з яких є самостійною

і незалежною юридичною особою. Детальний опис структури «Делойт Туш Томацу» і фірм, що входять до її складу, надано

в мережі Інтернет за адресою http://www.deloitte.com/about

Фірма „Делойт” надає послуги в галузі аудиту, оподаткування, управлінського та фінансового консультування державним

і приватним компаніям, які працюють у різних галузях промисловості. Фірма „Делойт” – це міжнародна мережа компаній,

які використовують свої широкі галузеві знання і багаторічний досвід практичної роботи під час обслуговування клієнтів

у будь-яких сферах діяльності у більш ніж140 країнах світу. Приблизно 169,000 спеціалістів фірми „Делойт” у всьому світі

прихильні ідеям досягнення досконалості у наданні професійних послуг своїм клієнтам.

Працівники фірми „Делойт” об`єднані особливою культурою співробітництва, яка, у поєднанні з перевагами культурного

розмаїття, направлена на розвиток моральних якостей і командного духу, а також підвищує цінність наших послуг

для клієнтів і ринків. Велику увагу компанія „Делойт” придiляє постійному навчанню своїх працівників, отриманню ними

досвіду практичної роботи і наданню можливостей кар`єрного зростання. Спеціалісти фірми „Делойт” сприяють укріпленню

корпоративної відповідальності, підвищенню загальної довіри до компаній об`єднання і створенню сприятливої

атмосфери у суспільстві.

© 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш». Всі права застережено.