Нормативно-правове регулювання у галузі криптографічного захисту інформації в Україні та світі

За даними бюлетеня групи контролю експорту DTI, Великобританія застосувала санкції і часткове або повне ембарго щодо Анголи, Іраку, Лівії, Аргентини, Вірменії, Азербайджану, Боснії і Герцеговини, КНР, Хорватії, Ірану, Ліберії, Нігерії, Руанди, Сербії, Сомалі, Тайваню, колишньої Югославії та Конго (столиця Кіншаса).

У Великобританії немає контролю імпорту криптографічних продуктів і обмежень на застосування їх усередині країни. Чинний до останніх виборів уряд Великобританії почав проводити відкриті консультації (Public Consultation) з довіреними третіми сторонами (Trusted Third Parties) з питань розширення криптографічних служб в країні. В результаті DTI випустило бюлетень про хід цих консультацій (березень 1997 р.). Але знову обраний лейбористський уряд Великобританії увів мораторій на надійшовшу пропозицію про перегляд юридичних обґрунтувань видачі ліцензій, виходячи з того, що уряд лейбористів має намір почати кампанію за скасування будь-якого контролю використання криптографії у Великобританії. Своє ставлення до криптографії лейбористський уряд висловив в наступній заяві: "Важливе значення має суворий захист приватних комерційних і персональних інтересів у нових мережах. Ми не можемо прийняти концепцію криптографії з депонуванням ключів, розроблену і пропоновану США, що дає можливість урядовим органам розкривати будь-яке зашифроване або скремблюване повідомлення. Єдине повноваження, яке ми можемо надати урядовим органам для боротьби із злочинністю, - це можливість розшифрування повідомлень за ордерами судових або слідчих органів (аналогічним ордерами на обшук). Спроби контролювати застосування криптографічної техніки і технологій є помилковими в принципі, нездійсненними практично і шкідливими для довгострокової економіки інформаційних мереж. Не має суттєвої різниці між зашифрованим файлом і замкненим сейфом. Сейф може бути зроблений так, що зберігаюча в ньому інформація буде знищена при його несанкціонованому взломі. Аналогічну роль виконує алгоритм шифрування файлу.

Крім того, швидкі темпи зміни технологій і широкі можливості отримання нових комп'ютерних програм через мережу Internet та інші мережі приведуть до неможливості своєчасного використання технічних рішень. Адекватний контроль може бути введений в дію тільки на основі існуючих законів про пошук, перехоплення та розкритті інформації. Немає необхідності відносити до категорії злочинних елементів великої кількості користувачів інформаційних мереж, виходячи з вимог контролю дій невеликої кількості порушників закону".

У липні 1997р. міністр науки, енергетики та промисловості Великобританії підписав комюніке "Про глобальні комунікаційних мережах".

Угорщина (3/Ж)

Угорщина належить до країн, які дотримуються політики обмеження експорту криптографічних програмних засобів подвійного призначення.

У липні 1997 р. міністр транспорту, зв'язку та водних ресурсів Угорщини підписав відоме комюніке Європейської конференції міністрів "Про глобальні інформаційні мережі"[12].

Німеччина (3)

За даними представництва Німеччини у Вашингтоні, в цій країні:

- Немає контролю за застосуванням апаратних або програмних криптографічних засобів;

- Немає контролю імпорту таких засобів;

- Контроль експорту засобів шифрування застосовується в такій же мірі, як і в США станом на початок 1997 р.;

- Контроль експорту здійснює Федеральне управління міністерства економіки.

У доповіді міністерства торгівлі і АНБ США є відомості про те, що ліцензії на експорт криптографічних засобів фактично видаються з дозволу Федерального управління інформаційної безпеки BSI (Bundesamt fur Sicherheit der Informationstechnik) міністерства внутрішніх справ.

У червні 1997 р. в Німеччині прийнято закон "Про електронно-цифровий підпис" (Sig G). За цим законом система цифрового підпису ґрунтується на застосуванні асиметричної криптографії з двома ключами: секретним ключем зашифрування стороною, яка підписує документ або повідомлення, і відкритим ключем довіреною стороною. Який криптоалгоритм повинен застосовуватися в системі цифрового підпису, в законі не уточнюється. Питання про вибір криптоалгоритма буде, очевидно, вирішено в окремій постанові про застосування закону Sig G. У цьому законі не уточнюється також питання про третю довірчу сторону, але він вимагає, щоб ця сторона затверджувалася Федеральною службою зв'язку Німеччини, що створює цифровий ланцюг перевірки відкритих ключів.

Управління BSI координує свої рішення з експорту з Федеральною службою зв'язку, Федеральним управлінням розвідки і міністерством оборони Німеччини.

Греція (3)

Посольство Греції у Вашингтоні повідомляє, що в даний час в країні відсутні закони про застосування, імпорт та експорт криптографічних засобів і прийняття таких законів не передбачається. Але посольство, ймовірно, не знає про те, що Греція приєдналася в липні 1997 р., до комюніке Європейської конференції міністрів "Про глобальні інформаційні

мережі", яке визначає порядок експорту програмних засобів шифрування подвійного (військового і цивільного) застосування.

Данія (3)

У доповіді міністерства торгівлі і АНБ США повідомляється, що в Данії контролюється експорт та реекспорт програмних криптографічних засобів. На експорт необхідно отримати ліцензію від урядових органів. Відомостей про скасування цього порядку немає. У політиці контролю експорту криптографічних засобів Данії не робиться відмінностей між типами криптоалгоритмів і їх криптостійкість.

Експорт стратегічних товарів в Данії контролюється на основі адміністративного розпорядження міністерства промисловості від 12 листопада 1993 До цього розпорядження прикладений список стратегічних товарів, експорт яких можливий тільки за наявності ліцензії міністерства політики ділових відносин (Business Policy Ministry). У список включені товари, на які поширюються ембарго, прийняті чотирма міжнародними угодами. Адміністративне розпорядження міністерства Данії визнано як відповідне міжнародним правилам контролю експорту стратегічних товарів подвійного призначення Європейським Союзом. У Данії відсутній контроль імпорту криптографічних продуктів.

У червні 1996 р. рада з інформаційної безпеки Данії виступила з пропозицією про свободу застосувань криптографії в країні, в тому числі і систем з обов'язковим депонуванням криптографічних ключів. Рада вважає, що чинна юридична система проведення обшуків дає можливість доступу до криптографічних ключів. Рада звернулася також до міністра з досліджень та інформаційних технологій з пропозицією внести на розгляд парламенту країни законопроект про цифровий підпис. Данія приєдналася до комюніке Європейської конференції міністрів "Про глобальних інформаційних мережах" від 8 липня 1997.

Європейський Союз (3/Ж)

У 1992 р. Європейська комісія запропонувала правила регулювання продажів криптографічних продуктів подвійного (військового і цивільного) застосування на світовому ринку. Але так як експорт криптопродуктів військового призначення торкався питань національної безпеки країн-учасниць, то контроль за цим експортом був віднесений до компетенції окремих держав, а контроль експорту криптопродуктів цивільного призначення залишено за Європейською комісією.

Згодом було досягнуто компромісу, і в 1994р. були прийняті правила Європейського Союзу про регулювання експорту криптопродуктів подвійного призначення (ЄС № 338 V 94), що містять 24 статті. Ці правила введені в дію

1 липня 1995 рішенням Ради № 94/942/CFSP, що містить вісім статей і п'ять додатків.

1. Всі країни - члени Європейського Союзу визнають один і той же список кріптопродуктов подвійного призначення і правила контролю їх експорту.

2. Для експорту більшості продуктів подвійного призначення між країнами - членами Союзу (і в інші дружні країни, що не входять до Союзу, такі як Австралія, Канада, Японія, Норвегія, Швейцарія і США) досить дозволу уряду країни-експортера.

3. У Європейському Союзі діє загальний контроль рівня експорту.

4. Дозволи на експорт, видані урядом якоїсь країни - члена Союзу, мають поширюватися і на експорт крbптопродуктів з інших країн - членів Союзу.

У доповіді від 8 жовтня 1997 Генерального Директорату - XIII (Directrorate - General XIII) Європейської Комісії, яка відповідає за політику в галузі зв'язку, ринку інформаційних продуктів і досліджень, повідомлялося, що Директорат розглядає проблеми, пов'язані з політикою уряду США, та пропонує перейти до криптографії з депонуванням ключів.

У доповіді стверджується, що "обмеження у використанні криптографії можуть перешкоджати законослухняним компаніям і громадянам захистити себе від дій кримінальних елементів" і що криптосистеми з депонуванням ключів "не виключають повністю можливості використання цієї техніки в злочинних цілях". Відносно механізму "чорний хід" в цих системах, що дає змогу правоохоронним і розвідувальним органам читати відкритий текст зашифрованих повідомлень, в доповіді сказано, що "якщо такі криптосистеми будуть прийняті, права правоохоронних органів та інших служб повинні бути обмежені до абсолютно необхідних". Ця доповідь була представлена Європейською комісією основним адміністративним органам Європейського Союзу: Європейському Парламенту, Раді міністрів, Комітету з економіки та соціальних питань, Комітету у справах регіонів[12].

Ізраїль (Ч)

В Ізраїлі введений всебічний контроль експорту, імпорту та внутрішнього застосування криптографічних засобів. Правила проведення такого контролю визначені Судовим наказом (Court Ordez) 1974 "Контроль за продуктами і засобами (відносяться до криптографії)". У цьому наказі встановлено, що будь-яка особа не може займатися діяльністю в галузі криптографії (включаючи імпорт, експорт, виробництво або застосування криптопродуктів) без отримання ліцензії від національного органу, призначуваного міністром оборони.

За роз'ясненням міністерства закордонних справ Ізраїлю "регулювання імпорту та експорту криптографічних засобів, а також розробки нових криптотехнологій здійснює міністерство оборони, так само як і контроль експорту зброї. Для експорту криптографічних засобів необхідно отримати ліцензію із зазначенням кінцевого користувача, якому поставляються ці кошти. Фірма, яка має намір вести розробки криптографічного техніки, повинна одержати відповідний дозвіл міністерства оборони Ізраїлю ".

Індія (Ж/Ч)

Індія має строгу урядову структуру, що здійснює основні функції контролю зовнішньої торгівлі, головним чином, товарами першої необхідності, а не товарами, що відносяться до оборони країни і національної безпеки. До травня 1994 р. у Індії не було чіткої політики щодо експорту озброєння або критичних засобів подвійного (військового і цивільного) застосування. У березні 1995 р. Індія опублікувала список стратегічних сировинних матеріалів і технологій, експорт яких дозволяється тільки за ліцензіями. У список включені тільки апаратні і програмні засоби шифрування для телеметричних систем (головним чином, відносяться до управління ракетами, які займають важливе місце в цьому списку). У списку відсутні програмні засоби шифрування інформації.

Згідно зі спільним меморандумом Індії та США про взаєморозуміння з питань обміну критичними технологіями, уряд Індії має намір "полегшити" умови імпорту з США окремих продуктів, включених в списки товарів, що підлягають митному контролю, і списки предметів озброєння. Інформація про контроль імпорту криптографічних засобів в Індію і їх застосування всередині країни відсутня.

Індонезія (Ч)

Як повідомило посольство Індонезії у Вашингтоні, прийняття правил, що регулюють застосування криптографії всередині країни, являє собою важливе нововведення уряду. Комерційний аташе Індонезії у Вашингтоні інформував відповідні організації в Джакарті про розвиток криптографії в США і політиці уряду цієї країни щодо контролю її застосувань.

Посольство Індонезії повідомило також, що відповідальним за проведення політики контролю експорту та імпорту криптографічних продуктів є Генеральний директорат міжнародної торгівлі, що входить в міністерство промисловості і торгівлі Індонезії.

Іран (невідомо)

Посольство Пакистану, що представляє інтереси Ірану в Вашингтоні, повідомило, що запит центру EPIC про закони Ірану, що відносяться до криптографії, був переданий відповідним організаціям ісламської республіки Іран. Ніякої інформації надалі не було отримано.

Ірландія (3/Ж)

У листі Агентства розвитку (Development Agency) Ірландії від 21 лютого 1994 повідомлялося, що в Ірландії немає обмежень на експорт комп'ютерних програмних засобів. Завдяки відсутності таких обмежень більше 75 іноземних фірм в Ірландії займалися цим експортом.

За останніми даними, пізніше Ірландія ввела обмеження на експорт комп'ютерних програм шифрування, які можуть використовуватися для цивільних і військових цілей.

У липні 1997 р. Ірландія підписала комюніке Європейської конференції міністрів "Про глобальних інформаційних мережах".

Іспанія (Ч)

За повідомленням Генерального директорату зв'язку Іспанії, уряд країни приймає адміністративні та юридичні заходи щодо реалізації Резолюції Ради Європейського Союзу від 17 січня 1995 про законне перехоплення повідомлень в системах зв'язку (9529/95ENFPOL). Власних законів, що визначають політику в області криптографії, в Іспанії немає.

Згідно з діючими в країні правилами, всі постачальники послуг у системах зв'язку (та інші агентства) зобов'язані за вимогами законних органів влади розшифровувати перехоплені повідомлення. Це записано в статті 579 Закону про кримінальні розслідування (Law on Criminal Investigations).

Урядовим агентством, відповідальним за контроль експорту та імпорту криптографічних продуктів, є Генеральний директорат зовнішньої торгівлі (у складі міністерства економіки Іспанії). Контроль за застосуваннями криптографії всередині країни здійснює Генеральний директорат зв'язку (у складі міністерства планування).

Питаннями видачі ліцензії на експорт товарів подвійного призначення і вироблення державної політики в цій сфері займається Об'єднаний Міжміністерський комітет з регулювання торгівлі стратегічними товарами подвійного призначення JIMDDU (Junta Interministerial Reguladora del Comercio de Material de Defensa у Doblc Uso). До складу цього комітету входять представники міністерств оборони, торгівлі, закордонних справ та економіки. Комітет видає ліцензії або відмовляє у їх видачі з урахуванням інтересів іноземної політики, національної безпеки і оборони країни. У кожному випадку застосовується строгий індивідуальний підхід.

Виробленням національної політики Іспанії з криптографії займається Головний центр військової інформації CESID (Centro Superior de Information de la Defensa), що є розвідувальним центром міністерства оборони.

Дозволи на імпорт видаються відповідно до королівського указу (Royal Decree 824/1993). У додатку 6 до цього указу дано список товарів, на імпорт яких потрібна ліцензія: криптографічні продукти в цьому списку відсутні. Але Іспанія видає сертифікати на імпорт таких продуктів, якщо цього вимагає країна - експортер. Хоча в Іспанії офіційно цивільні застосування криптографії не контролюються, міністерство закордонних справ у своєму повідомленні 120521Z в серпні 1994 р. оголосило, що за погодженням з іншими міністерствами контроль за неурядовими застосуваннями криптографії в країні будуть здійснювати міністерства внутрішніх справ, громадських робіт і торгівлі.

В даний час контроль за приватними застосуваннями криптографії здійснюється тільки в мережах урядових та правоохоронних органів, банківських установ[13].

Україна(Ж)

В Україні питаннями ліцензування та стандартизації в сфері КЗІ криптографічної продукції займається Державна служба спеціального зв'язку та захисту інформації в Україні. Сама ж політика України спрямована на обмеження безконтрольного застосування, купівлі, продажу криптопродукції. Всі відносини, що пов'язані з використанням криптографії повинні ліцензуватися.

1.3 Висновки до розділу 1

В даному розділі визначено основні поняття, що стосуються криптографії. Описано історію формування даної галузі знань, починаючи від самого зародження до сьогодення а також період формування криптографії в правовому середовищі. З'ясовано, що сучасна криптографія в контексті правових відносин зародилася з появою концепції асиметричної криптографії, яка докорінно змінила підхід до засекречення інформації. З появою даного феномену, з'явилися системи, які не тільки могли приховати дані від небажаного ока, а й такі, що здатні гарантувати цілісність даних, підтверджувати авторство інформації.

Всі ці досягнення дали поштовх до розвитку багатьох сучасних інформаційних систем, якими людство користується зараз. Проаналізувавши політику ряду країн відносно застосування, імпорту та експорту криптографічної продукції можна зробити висновок, що країни-виробники криптопродуктів за останнє півстоліття пом'якшують контроль за вивезенням та ввезенням даної категорії товарів. Така тенденція зумовлена наявністю великого бізнес середовища, що виробляє продукцію криптографічного профілю. Створення жорстких заборон на експорт криптопродукції фактично б закрило її доступ на міжнародний ринок.

Така позиція держави втратила б один із напрямків збору доходів. З іншого бо у деякі держави через свій політичний вектор все ж таки суттєво обмежують доступ криптографії до окремих країн. Наприклад, США визначила ряд країни в які вона суттєво обмежила експорт криптографії, таких як Іран, Судан, Лівія, Північна Корея.

Розділ 2. Сучасний стан та державна політика в сфері КЗІ

2.1 Державне регулювання господарських відносин у сфері криптографічного захисту інформації в Україні

Згідно закону "Про ліцензування певних видів господарської діяльності", а також наказу Державного комітету України з питань регуляторної політики та підприємництва №8/216 діяльність, що пов'язана з розробкою, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного та технічного захисту інформації, а також з наданням послуг із криптографічного та технічного захисту інформації не може здійснюватися без ліцензії. Таким чином, за змістом зазначеного закону, наявність ліцензії потрібно не тільки для реалізації засобів криптографічного захисту, а також і для використання засобів криптографічного захисту в підприємницькій діяльності. Ліцензійні умови для даного виду діяльності встановлює документ під назвою "Ліцензійні умови провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису), торгівлі криптосистемами і засобами криптографічного захисту інформації", затвердженого наказом Державного комітету України з питань регуляторної політики та підприємництва, Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 26.01.2008 N 8/216.

Ліцензійні умови дають визначення основних термінів у сфері криптографії:

Криптографічний захист інформації - вид захисту, що реалізується за допомогою перетворень інформації з використанням спеціальних даних (ключових даних) з метою приховування (або відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства тощо.

засіб криптографічного захисту інформації - програмний, апаратно-програмний, апаратний або інший засіб, призначений для криптографічного захисту інформації[14].

Таким чином, поняття "засіб криптографічного захисту інформації" включає в себе наступні ознаки - це засіб, який призначено для криптографічного захисту інформації, тобто для виду захисту, який:

- Реалізується за допомогою перетворень інформації з використанням спеціальних даних (ключових даних).

Метою такого захисту є:

1. приховування або відновлення змісту інформації;

2. підтвердження автентичності інформації;

3. підтвердження цілісності інформації;

4. підтвердження авторства інформації;

5. підтвердження "тому подібного";

- Виражається у формі:

1. програмним;

2. апаратно-програмним;

3. апаратним;

4. іншим[14].

Звичайно, слід зазначити що застосування фрази "тощо" є неприпустимим, а "інші" небажаним при визначенні термінів, що мають нормативне значення.

Подібні визначення завжди створюють широке поле для зловживань чиновників, оскільки такий термін уже "за визначенням" є невизначеним.

Однак п.2. Ліцензійних умов кілька конкретизує поняття "засоби криптографічного захисту, встановлюючи, що до засобів криптографічного захисту інформації належать:

- Апаратні, програмні та апаратно-програмні засоби, що реалізують криптографічні алгоритми перетворення інформації;

- Апаратні, програмні та апаратно-програмні засоби, системи і комплекси захисту від нав'язування неправдивої інформації, включаючи засоби імітозахисту і електронного підпису, що реалізують криптографічні алгоритми перетворення інформації;

- Апаратні, програмні та апаратно-програмні засоби, системи і комплекси, призначені для виготовлення та розподілу ключових документів, які використовуються в засобах криптографічного захисту інформації, незалежно від виду носія ключової інформації;

- Системи і комплекси (у тому числі ті, які входять до системи та комплекси захисту інформації від несанкціонованого доступу НСД), до складу яких входять апаратні, програмні та апаратно-програмні засоби, що реалізують криптографічні алгоритми перетворення інформації.

На жаль, "Ліцензійні умови" не дають визначення поняттю криптографічні алгоритми перетворення інформації.

Ліцензія видається на вид підприємницької діяльності, пов'язаної з розробкою, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного захисту інформації, а також з наданням послуг із криптографічного захисту інформації. Ліцензії видає Департамент спеціальних телекомунікаційних систем та захисту інформації СБ України (надалі Департамент).

На підставі ліцензії можуть виконуватись наступні види робіт:

- Розробка криптоалгоритмів, криптопротоколів.

- Розробка апаратних засобів криптографічного захисту інформації на підставі криптографічних алгоритмів, які є державними стандартами або рекомендовані Департаментом.

- Розробка програмних засобів криптографічного захисту інформації на підставі криптографічних алгоритмів, які є державними стандартами або рекомендовані Департаментом.

- Розробка апаратно-програмних засобів криптографічного захисту інформації на підставі криптографічних алгоритмів, які є державними стандартами або рекомендовані Департаментом.

- Розробка апаратних засобів криптографічного захисту інформації на підставі власних криптографічних алгоритмів.

- Розробка програмних засобів криптографічного захисту інформації на підставі власних криптографічних алгоритмів.

- Розробка апаратно-програмних засобів криптографічного захисту інформації на підставі власних криптографічних алгоритмів.

- Розробка захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.

- Розробка обладнання криптографічного захисту інформації.

- Розробка систем і засобів генерації, тестування та управління розподілом разових (сеансових) ключів.

- Проведення сертифікаційних випробувань (тематичних досліджень) засобів криптографічного захисту інформації.

- Виготовлення апаратних засобів криптографічного захисту інформації.

- Виготовлення програмних засобів криптографічного захисту інформації.

- Виготовлення апаратно-програмних засобів криптографічного захисту інформації.

- Виготовлення захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.

- Виготовлення обладнання криптографічного захисту інформації.

- Виготовлення систем та засобів генерації, тестування та управління розподілом разових (сеансових) ключів.

- Ввезення на територію України, в тому числі і імпорт засобів криптографічного захисту інформації (їх частин, нормативно-технічної документації).

- Ввезення на територію України, в тому числі і імпорт захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.

- Вивезення з України, в тому числі і експорт засобів криптографічного захисту інформації (їх частин, нормативно-технічної документації).

- Вивезення з України, в тому числі і експорт захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.

- Реалізація засобів криптографічного захисту інформації.

- Реалізація захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.

- Реалізація обладнання криптографічного захисту інформації.

- Використання засобів криптографічного захисту інформації.

- Використання захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.

- Надання послуг з шифрування інформації.

- Надання консультативних послуг з питань криптографічного захисту інформації.

- Монтаж (встановлення) та демонтаж засобів криптографічного захисту інформації та обладнання криптографічного захисту інформації.

- Монтаж (встановлення) захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.

- Налагодження засобів криптографічного захисту інформації.

- Налагодження захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації.

- Ремонт (сервісне обслуговування) та підтримка засобів криптографічного захисту інформації.

- Ремонт (сервісне обслуговування) захищених телекомунікаційних та інших систем і комплексів, які містять засоби криптографічного захисту інформації[14].

Видача ліцензій здійснюється в порядку передбаченому Положенням "Про порядок ліцензування підприємницької діяльності", затв. Пост. КМ України N 1020 від 03.06.1998 р.

Для отримання ліцензії суб'єкт підприємницької діяльності подає до Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України заяву за формою встановленою Додатком 1 до Положення "Про порядок ліцензування підприємницької діяльності". У заяві зазначаються:

- Відомості про заявника:

- Для громадянина-підприємця - прізвище, ім'я, по батькові та паспортні дані (серія та номер, ким і коли виданий), місце проживання, ідентифікаційний номер фізичної особи - платника податків та інших обов'язкових платежів;

- Для юридичних осіб - найменування, місце знаходження, банківські реквізити, організаційно-правова форма, ідентифікаційний код;

- Вид діяльності, на який заявник має намір одержати ліцензію;

- Термін дії ліцензії[18].

До заяви додаються такі документи:

- Підприємцями-громадянами - копії документів, які свідчать рівень освіти і кваліфікації, необхідний для провадження відповідного виду діяльності, копія свідоцтва про державну реєстрацію суб'єкта підприємницької діяльності;

- Юридичними особами - копії свідоцтва про державну реєстрацію суб'єкта підприємницької діяльності та установчих документів.

Всі представлені заявником документи формуються в окрему справу.

Орган, що видає ліцензії, приймає рішення про видачу ліцензії або про відмову у її видачі протягом не більше ніж 30 днів з дня отримання заяви та відповідних документів. У разі необхідності проводиться перевірка відомостей, які містяться в цих документах, та спроможності виконання заявником ліцензійних умов на проведення того виду підприємницької діяльності, на який видається ліцензія.

Ліцензія видається не пізніше трьох днів з дня прийняття рішення про її видачу за умови подання заявником до органу, що видає ліцензію, документа про внесення плати за її видачу. Розміри плати за видачу ліцензій встановлено Постановою КМ України від 04.01.99 N 6 "Про розміри і порядок зарахування плати за видачу та переоформлення ліцензій на провадження певних видів підприємницької діяльності". Розміри плати за видачу ліцензії на право здійснення діяльності, пов'язаної з розробкою, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного та технічного захисту інформації, а також з наданням послуг із криптографічного та технічного захисту інформації для юридичних осіб становить 12 неоподатковуваних податками мінімумів доходів громадян, для громадян-підприємців - 2 неоподатковуваних податками мінімуму доходу громадян.

В даний час неоподатковуваний мінімум доходів громадян становить 17 грн. При цьому не слід забувати що згідно ст. 11 Указу Президента України 23.07.98 р. N 817 / 98 "Про деякі заходи з дерегулювання підприємницької діяльності" органи, що здійснюють реєстрацію суб'єктів підприємницької діяльності або видають ліцензії на здійснення окремих видів підприємницької діяльності, а також видають інші дозволи, передбачені законодавством, не можуть ставити як умову реєстрації чи видачі ліцензій та інших дозволів, відрахування коштів на користь яких би то не було бюджетних або позабюджетних фондів, установ, підприємств, організацій чи окремих осіб.

Плата, яка вноситься суб'єктом підприємницької діяльності за видачу та переоформлення ліцензії, зараховується до Державного бюджету України і вноситься на балансові рахунки територіальних органів Державного казначейства N 3510 "Кошти Державного бюджету України" в установах Національного банку та N 2510 - в установах комерційних банків за місцем проведення діяльності підприємця (код бюджетної класифікації 14060200, символ звітності банку 069).

У видачі ліцензії може бути відмовлено у разі виявлення недостовірних відомостей у документах, поданих заявником, а також у разі неможливості проведення заявником певного виду підприємницької діяльності відповідно ліцензійним умовам. У рішенні про відмову у видачі ліцензії, яке видається заявнику в письмовій формі у термін не пізніше 30 днів з дня отримання заяви, зазначаються підстави відмови.

Рішення про відмову у видачі ліцензії може бути оскаржено в судовому порядку.

Продовження дії ліцензії проводиться у порядку, встановленому для її отримання.

Орган, що видає ліцензії, має право зупинити дію ліцензії у разі:

- Порушення суб'єктом підприємницької діяльності ліцензійних умов передбачених в законі;

- Невиконання суб'єктом підприємницької діяльності у визначений термін розпоряджень Ліцензійної палати або органу, який видав ліцензію, щодо дотримання ліцензійних умов.

У разі своєчасного усунення порушень, що призвели до зупинення дії ліцензії, орган, який видав ліцензію, приймає рішення про поновлення її дії.

Орган, який видав ліцензію, має право анулювати ліцензію у разі:

- Виявлення недостовірних відомостей у заяві на видачу ліцензій або в документах, що додаються до неї;

- Передачі суб'єктом підприємницької діяльності ліцензії іншій особі;

- Повторного або грубого порушення суб'єктом підприємницької діяльності ліцензійних умов.

Ліцензія вважається анульованою з дати прийняття рішення про її анулювання або з дати скасування державної реєстрації суб'єкта підприємницької діяльності.

Мотивоване рішення про зупинення дії ліцензії або її анулювання доводиться у письмовій формі до відома суб'єкта підприємницької діяльності у 5-денний термін.

Копія рішення про зупинення дії ліцензії, її анулювання та про поновлення дії ліцензії надсилається до податкового органу за місцезнаходженням суб'єкта підприємницької діяльності для прийняття відповідного рішення.

Рішення про зупинення дії ліцензії або її анулювання може бути оскаржене суб'єктом підприємницької діяльності в судовому порядку.

У разі здійснення підприємницької діяльності без ліцензії громадянин або винна посадова особа підприємства можуть бути притягнуті до адміністративної відповідальності за ст. 164 Кодексу про адміністративні правопорушення України "Порушення порядку провадження господарської діяльності": "Провадження господарської діяльності без державної реєстрації як суб'єкта господарювання або без одержання ліцензії на провадження певного виду господарської діяльності, що підлягає ліцензуванню відповідно до закону, чи здійснення таких видів господарської діяльності з порушенням умов ліцензування, а так само без одержання дозволу, іншого документа дозвільного характеру, якщо його одержання передбачене законом (крім випадків застосування принципу мовчазної згоди), тягне за собою накладення штрафу від двадцяти до ста неоподатковуваних мінімумів доходів громадян з конфіскацією виготовленої продукції, знарядь виробництва, сировини і грошей, одержаних внаслідок вчинення цього адміністративного правопорушення, чи без такої[19]."

У відповідності зі ст. 218 КпАП України справи про адміністративні правопорушення передбачених ст. 164 КпАП розглядають адміністративні комісії при виконавчих комітетах районних, міських, районних у містах Рад народних депутатів. Якщо таке правопорушення буде скоєно повторно протягом року після накладення адміністративного стягнення, винна особа може бути притягнута до кримінальної відповідальності за ст. 148-3. КК України "Порушення порядку заняття підприємницькою діяльністю":

"Заняття підприємницькою діяльністю без державної реєстрації або без спеціального дозволу (ліцензії), отримання якого передбачено законодавством, якщо ці дії вчинено протягом року після накладення адміністративного стягнення за такі ж порушення, караються штрафом до двохсот мінімальних розмірів заробітної плати з позбавленням права займати певні посади або займатися певною діяльністю на строк до трьох років[20]."

Для здійснення деяких видів діяльності в Україні у відповідності з законодавством використання криптографічних засобів захисту інформації є обов'язковим.

Так, у відповідності з Положенням про міжбанківські розрахунки в Україні, затв. Пост. НБУ № 414 від 08.10.98 р. використання криптозахисту електронних банківських документів є обов'язковим для банків, які є учасниками системи електронних платежів (СЕП) Національного банку України. Виконання вимог щодо захисту банківської інформації є обов'язковим для всіх банків - учасників СЕП. Система захисту електронних розрахункових документів складається з комплексу апаратно-програмних засобів криптографічного захисту та ключової системи до них, технологічних і організаційних заходів щодо захисту інформації в інформаційно-обчислювальної мережі. Апаратно-програмні засоби криптографічного захисту інформації СЕП надаються комерційним банкам (філіям) службою захисту інформації того регіонального управління Національного банку, де територіально розташований комерційний банк (філія), на підставі Договору про використання криптографічних засобів захисту інформації в інформаційно-обчислювальної мережі Національного банку України (зразок договору наведений у додатку № 5 до Положення про міжбанківські розрахунки в Україні). Ці кошти забезпечують аутентифікацію адресата і відправника електронних розрахункових документів і службових повідомлень СЕП, гарантують їх абсолютну достовірність та цілісність через неможливість підробки або викривлення документів у шифрованому вигляді або за наявності електронного цифрового підпису.

Відповідно до Положення про розрахунково-клірингову діяльність, затвердженим рішенням Державної комісії з цінних паперів та фондового ринку 27.01.98 р. N 11-а депозитарій забезпечує функціонування системних та програмно-технічних засобів захисту інформації, до яких повинно відноситися, зокрема, і "криптографічний захист інформації в процесі збирання, одержання, заощадження і передачі каналами зв'язку".

2.2 Правове регулювання ЕЦП в Україні та світі

Електронний цифровий підпис - це блок інформації, який прикріпляється до файлу даних автором і захищає файл від несанкціонованої модифікації та вказує на власника підпису, використовується фізичними та юридичними особами як аналог власноручного підпису для додання електронному документу юридичної сили, відповідає юридичній силі документа на паперовому носії, підписаного власноручним підписом правомочної особи, та скріпленого печаткою.

Варто звернути увагу на трактування електронного підпису в країнах Євросоюзу. Так, Директива 1999/93/ЄС Європейського парламенту та Ради від 13 грудня 1999 року "Про систему електронних підписів" надає два терміни [21]:

- електронний підпис - це "дані, подані в електронній формі, які додаються чи логічно поєднуються з іншими електронними даними та які служать в якості методу засвідчення достовірності";

- "удосконалений електронний підпис", що означає електронний підпис, який відповідає певним вимогам, а саме, знаходиться під повним контролем особи, яка його ставить, і пов'язаний винятково із цією особою, дозволяє за підписом ідентифікувати особу і пов'язаний з даними таким чином, що будь-яку зміну даних після додавання підпису можна виявити.

Електронний цифровий підпис є якісно новим етапом в розвитку сучасного документообігу. Сертифікати електронного цифрового підпису, згідно Закону "Про електронний цифровий підпис", який вступив у дію з 1 січня 2004 року, мають однакову силу з власноручним підписом особи. Використання електронного цифрового підпису в системі електронного документообігу істотно прискорює проведення численних комерційних операцій, скорочує об'єми паперової бухгалтерської документації, економить час співробітників і витрати підприємства, пов'язані з укладенням договорів, оформленням платіжних документів, наданням звітності в контролюючі органи, отриманням довідок від різних держустанов.

Підробити ЕЦП, створений акредитованим сертифікаційним центром, неможливо.

Метою застосування систем цифрового підпису є автентифікація інформації - захист учасників інформаційного обміну від нав'язування хибної інформації, встановлення факту модифікації інформації, яка передається або зберігається, й отримання гарантії її справжності, а також вирішення питання про авторство повідомлень. Система цифрового підпису припускає, що кожен користувач мережі має свій таємний ключ, який використовується для формування підпису, а також відповідний цьому таємному ключу відкритий ключ, відомий решті користувачів мережі й призначений для перевірки підпису. Цифровий підпис обчислюється на основі таємного ключа відправника інформації й власне інформаційних бітів документу (файлу). Один з користувачів може бути обраним в якості "нотаріуса" й завіряти за допомогою свого таємного ключа будь-які документи. Решта користувачів можуть провести верифікацію його підпису, тобто пересвідчитися у справжності отриманого документу. Спосіб обчислення цифрового підпису такий, що знання відкритого ключа не може призвести до підробки підпису. Перевірити підпис може будь-який користувач, що має відкритий ключ, в тому числі незалежний арбітр, якого уповноважено вирішувати можливі суперечки про авторство повідомлення (документу) [22].

З січня 2004 року вступив в дію прийнятий парламентом закон "Про електронні документи і електронний документообіг", в якому чітко визначені поняття, сфери застосування і юридична сила електронних документів і електронного документообігу.

Електронний документ - це документ, інформація в якому зафіксована у вигляді електронних даних, включаючи обов'язкові реквізити документа. Електронний документ може бути створений, переданий, збережений і переведений електронними засобами у візуальну форму.

Законом України "Про електронні документи та електронний документообіг" встановлено основні організаційно-правові засади електронного документообігу та використання електронних документів. Так, за визначенням, електронний документ - документ, інформація в якому зафіксована у вигляді електронних даних, включаючи обов'язкові реквізити документа, зокрема електронний цифровий підпис (ст.5). Юридична сила електронного документа не може бути заперечена виключно через те, що він має електронну форму.

Проте Закон встановлює певні обмеження на застосування електронного документа як оригіналу. В електронній формі не може бути створено оригінал свідоцтва про право на спадщину; інший документ, який згідно із законодавством може бути створений лише в одному примірнику, крім випадків існування централізованого сховища оригіналів електронних документів (ст. 8 Закону).

Як уже зазначалося, обов'язковим реквізитом електронного документа є електронний цифровий підпис - вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа (ст. 1 Закону "Про електронний цифровий підпис").

Особистий ключ відомий лише його володільцеві. Відкритий ключ доступний всім учасникам електронного документообігу. Такий ключ включається до сертифіката відкритого ключа та може розповсюджуватись в електронній формі або у формі документа на папері.

Засвідчення чинності відкритого ключа здійснюється шляхом формування сертифіката відкритого ключа - документа, що видається центром сертифікації ключів. Посилений сертифікат відкритого ключа видається акредитованим центром сертифікації ключів, засвідчувальним центром, центральним засвідчувальним органом.

Зазначена особливість дає можливість поряд із звичайним електронним цифровим підписом виділити цифровий підпис, підтверджений посиленим сертифікатом відкритого ключа.

Сертифікат відкритого ключа містить [23]:

- найменування та реквізити центру сертифікації ключів (центрального засвідчувального органу, засвідчувального центру);

- позначку, що сертифікат виданий в Україні;

- унікальний реєстраційний номер сертифіката ключа;

- основні дані (реквізити) підписувала-власника особистого ключа;

- дату і час початку та закінчення строку чинності сертифіката;

- відкритий ключ;

- найменування криптографічного алгоритму, що використовується власником особистого ключа;

- інформацію про обмеження використання підпису.

Посилений сертифікат відкритого ключа, крім обов'язкових даних, які містяться в сертифікаті відкритого ключа, повинен мати ознаку посиленого сертифіката відкритого ключа. Інші дані можуть вноситися у посилений сертифікат ключа на вимогу його власника

Юридичні та фізичні особи можуть на договірних засадах засвідчувати чинність відкритого ключа сертифікатом відкритого ключа, а також використовувати електронний цифровий підпис без сертифіката відкритого ключа.

Розподіл ризиків збитків, що можуть бути заподіяні підписувачам, користувачам та третім особам, які застосовують електронні цифрові підписи без сертифіката відкритого ключа, визначається суб'єктами правових відносин у сфері послуг електронного цифрового підпису на договірних засадах.

Щодо органів державної влади, органів місцевого самоврядування, підприємств, установ та організацій державної форми власності, то для них законодавець встановив імперативну (обов'язкову) норму, згідно з якою зазначені організації можуть застосовувати електронний цифровий підпис лише за умови використання надійних засобів електронного цифрового підпису, що повинно бути підтверджено сертифікатом відповідності або позитивним висновком за результатами державної експертизи у сфері криптографічного захисту інформації, отриманим на ці засоби від спеціально уповноваженого центрального органу виконавчої влади у сфері криптографічного захисту інформації, та наявності посилених сертифікатів відкритих ключів у своїх працівників-підписувачів.

Електронний цифровий підпис за правовим статусом прирівнюється до власноручного підпису (печатки) лише в тому разі, якщо:

- електронний цифровий підпис підтверджено з використанням посиленого сертифіката відкритого ключа за допомогою надійних засобів цифрового підпису;

- під час перевірки використовувався посилений сертифікат відкритого ключа, чинний на момент накладення електронного цифрового підпису;

- особистий ключ підписувача відповідає відкритому ключу, зазначеному у сертифікаті.

Для порівняння: у Німеччині, за законодавством, електронний цифровий підпис не прирівнюють до власноручного підпису; у Франції, навпаки, згідно зі статтею 1316 Цивільного кодексу, сторонам надається право вибору, оскільки в суді як докази визнаються (допускаються) літери та цифри чи будь-який інший знак або символ, значення (зміст) якого може бути з'ясовано незалежно від способу створення та передачі [24, с.25-28].

Підробити електронний цифровий підпис, а разом з ним і засвідчений документ неможливо, адже це потребуватиме величезної кількості обчислень, які, як вважається, не можуть бути реалізовані за сучасного рівня математики й обчислювальної техніки за прийнятний час, тобто поки інформація, що міститься в підписаному документі, є актуальною. Додатковий захист від підробки забезпечує центр сертифікації, який серед іншого цілодобово приймає заяви про скасування, блокування та поновлення сертифікатів ключів.

Електронний цифровий підпис може використовуватися юридичними і фізичними особами як аналог власноручного підпису для надання електронному документу юридичної сили. Юридична сила електронного документа, підписаного ЕЦП, еквівалентна юридичній силі документа на паперовому носієві, підписаного власноручним підписом правомочної особи та скріпленого печаткою.

Електронний цифровий підпис володіє всіма основними функціями власноручного підпису [25]:

- засвідчує те, що отриманий документ надійшов від особи, що підписала його;

- гарантує цілісність і захист від виправлень підписаного документа;

- не дає можливості особі, яка підписала документ, відмовитися від зобов'язань, що виникли в результаті підписання цього електронного документа.

Безпека використання ЕЦП забезпечується тим, що засоби, які використовуються для роботи з ЕЦП, проходять експертизу і сертифікацію в Департаменті спеціальних телекомунікаційних систем СБУ, яка гарантує неможливість зламу і підробки ЕЦП.

Переваги ЕЦП:

- юридична сила електронних документів, підписаних ЕЦП, законами України прирівнюється до юридичної сили документів з власноручним підписом або друком, а також створює правову основу для застосування ЕЦП і здійснення юридично значущих дій шляхом електронного документообігу.

- конфіденційність і безпека інформації. Використовуючи ЕЦП, користувач дістає додаткову можливість шифрування документів. Завдяки надійним криптографічним алгоритмам забезпечується конфіденційність інформації, яка має на увазі неможливість доступу до неї будь-якої особи.

- безпека використання ЕЦП забезпечується тим, що програмне забезпечення, яке використовується для роботи з ЕЦП, пройшло експертизу і сертифікацію в Департаменті спеціальних телекомунікаційних систем СБУ, яка гарантує неможливість зламу і підробки ЕЦП.

- можливість ведення електронного документообігу з державними структурами та можливість використовувати одні і ті ж засоби ЕЦП при обміні даними зі всіма міністерствами, відомствами, при подачі звітності до будь-яких контролюючих органів на території України.

- удосконалення бізнес-процесів на підприємстві істотно скорочує об'єми паперової бухгалтерської документації, економить час співробітників і витрати підприємства, пов'язані з укладенням договорів, оформленням платіжних документів.

- ведення ділових відносин на сучасному рівні використання ЕЦП істотно прискорює проведення численних комерційних операцій, виключає необхідність додаткових зустрічей і багатогодинних переговорів.

- електронний цифровий підпис - ефективне рішення для всіх, хто хоче йти в ногу з новими вимогами часу. Документи, підписані електронним цифровим підписом, можуть бути передані до місця призначення протягом декількох секунд. Всі учасники електронного обміну документами дістають рівні можливості незалежно від їх віддаленості один від одного.

Електронний документообіг (оборот електронних документів) - сукупність процесів створення, обробки, відправки, передачі, отримання, збереження, використання і знищення електронних документів, які відбуваються із застосуванням перевірки цілісності і, у разі потреби, з підтвердженням факту отримання таких документів.

В Законі "Про електронні документи та електронний документообіг" указується, що обов'язковим реквізитом електронного документа є електронний цифровий підпис, який використовується для ідентифікації автора і/або підписувача електронного документа іншими суб'єктами електронного документообігу. Накладенням електронного підпису закінчується створення електронного документа.

При підписанні електронного документа його початковий зміст не змінюється, а додається блок даних - електронний цифровий підпис.

Отримання цього блоку можна розділити на два етапи:

На першому етапі за допомогою програмного забезпечення і спеціальної математичної функції обчислюється так званий "відбиток повідомлення" (message digest).

Цей відбиток має наступні особливості: фіксовану довжину, незалежно від довжини повідомлення; унікальність відбитку для кожного повідомлення; неможливість відновлення повідомлення по його відбитку.

Таким чином, якщо документ був модифікований, то зміниться і його відбиток, який відобразиться при перевірці електронного цифрового підпису.

На другому етапі відбиток документа шифрується за допомогою програмного забезпечення і особистого ключа автора.

Таким чином, обчислення відбитку документа захищає його від модифікації сторонніми особами після підписання, а шифровка особистим ключем автора підтверджує авторство документа.

Переваги використання електронного документообігу [25]:

- перехід до зручнішого, швидшого і економнішого безпаперового документообігу;

- удосконалення процедури підготовки, подачі/доставки, обліку і збереження документів, їх аутентифікація, цілісність, конфіденційність і неспростовність;

- криптографічний захист інформації (електронних документів) при їх передачі відкритими каналами;

- мінімізація фінансових ризиків за рахунок підвищення конфіденційності інформаційного обміну документами;

- економія ресурсів за рахунок використання оперативного електронного архіву;

- можливість швидкого пошуку і перегляду електронних документів, а також визначення їх юридичної сили по ЕЦП;

- значне скорочення процедури підписання договорів, оформлення і подачі податкової і фінансової звітності;

- швидкий і надійний обмін електронними документами з партнерами, контрагентами незалежно від віддаленості адресата.

Останнім часом ми спостерігаємо підвищену законодавчу активність в області правового регулювання електронного цифрового підпису (ЕЦП). Тільки протягом року в США, Австрії, Англії, Ірландії, Індії і Сінгапурі були прийняті закони, які стосуються електронного цифрового підпису. Деякі з них направлені безпосередньо на нормативно-правове регулювання застосування ЕЦП, інші - на нормативно-правове регулювання електронної комерції і застосування інформаційних технологій, зокрема ЕЦП. У 1997 році в Німеччині був прийнятий Закон "Про електронний цифровий підпис" (Singaturgesetz). Діють також міжнародні правові акти. Наприклад, Директива Європейського Парламенту і Ради № 1999/93/EC "Про загальні рамкові умови для електронних підписів" 1999 року (далі по тексту - Директива). Об'єктивною необхідністю для такого бурхливого розвитку нового напряму законодавства стала зміна характеру суспільних відносин в економіці, управлінні і банківській сфері, пов'язаного з широким впровадженням інформаційних технологій в сферу комунікацій. У зв'язку з цим виникло нове поняття - електронний документ. Він відрізняється від традиційного документа перш за все тим, що має не фізичну, а логічну природу. А це, у свою чергу, призводить до відриву властивостей документа від властивостей носія і, відповідно, до неможливості застосування таких традиційних реквізитів, як рукописний підпис, друк, бланк і захисні елементи бланка, при здійсненні різного роду операцій, зокрема договорів. Сьогодні, коли говорять про необхідність швидкого становлення законодавства про електронний цифровий підпис (ЕЦП), перш за все згадують Інтернет і електронну комерцію. Це дійсно важливі, але далеко не єдині його передумови. Питання правового регулювання застосування ЕЦП повинні відігравати не меншу роль і в забезпеченні внутрішнього документообігу підприємств, установ, адміністративних органів.