Нормативно-правове регулювання у галузі криптографічного захисту інформації в Україні та світі

International Telecommunication Union (Міжнародний Союз Електрозв'язку) ITU - міжнародна міжурядова організація в галузі стандартизації електрозв'язку. Організація об'єднує більше 500 урядових і неурядових організацій. До її складу входять телефонні, телекомунікаційні та поштові міністерства, відомства та агентства різних країн, а також організації-постачальники устаткування для забезпечення телекомунікаційного сервісу. Основне завдання ITU полягає в координації розробки гармонізованих на міжнародному рівні правил і рекомендацій, призначених для побудови і використання глобальних телемереж і їх сервісів. У 1947 р. ITU отримала статус спеціалізованого агентства Організації Об'єднаних Націй (ООН).

До ряду міжнародних стандартів, прийнятих ISO/IEC відносяться:

ISO/IEC 29192-1:2012 "Інформаційні технології - Методи забезпечення безпеки - Легка криптографія - Частина 1: Загальні положення";

ISO/IEC 29192-2:2012 "Інформаційні технології - Методи забезпечення безпеки - Легка криптографія - Частина 2: Блочні шифри";

ISO/IEC 29192-3:2012 "Інформаційні технології - Методи забезпечення безпеки - Легка криптографія - Частина 3: Групові шифри";

ISO/IEC 29192-4:2012 "Інформаційні технології - Методи забезпечення безпеки - Легка криптографія - Частина 4: Механізм використання відкритого ключа в криптографії";

ISO/IEC 13157-2:2010 "Інформаційні технології - Телекомунікації та обмін інформацією між системами - NFC безпеки. Частина 2: NFC-SEC криптографічний стандарт, що використовує ECDH і AES".

ISO/IEC 11702-2:2008 "Інформаційні технології - Методи забезпечення безпеки - Управління ключами - Частина 2: Механізми, що використовують симетричні методи".

ISO/IEC 17090-1:2013 "Інформатика в охороні здоров'я - інфраструктура відкритих ключів - Частина 1: Огляд цифрових послуг сертифікатів".

ISO/IEC 10118-1:2000 "Інформаційні технології - Методи забезпечення безпеки - Хеш-функції - Частина 1: Загальні відомості".

ISO/IEC 10118-2:2010 "Інформаційні технології - Методи забезпечення безпеки - Хеш-функції - Частина 2: Хеш-функції з використанням n-бітним блоковим шифром".

ISO/IEC 10118-3:2004 "Інформаційні технології - Методи забезпечення безпеки - Хеш-функції - Частина 3: Виділені хеш-функції".

ISO/IEC 10118-4:1998 "Інформаційні технології - Методи забезпечення безпеки - Хеш-функції - Частина 4: Хеш-функції з використанням модульної арифметики".

ISO/IEC 9797-3:2011 "Інформаційні технології - Методи забезпечення безпеки - коди перевірки автентичності повідомлень (MAC) - Частина 3: Механізми, що використовують універсальну хеш-функцію".

ISO/IEC 9797-2:2011 "Інформаційні технології - Методи забезпечення безпеки - коди перевірки автентичності повідомлень (MAC) - Частина 2: Механізми, що використовують спеціальні хеш-функції" та інші[33].

Слід зазначити, що дані стандарти включають в себе криптографічний алгоритми та шифри, що були прийняті урядами в якості національних стандартів. Так, наприклад, стандарт ISO/IEC 13157-2:2010 включає стандарт симетричного алгоритму шифрування AES, що прийнятий в якості національного стандарту американським урядом. Цей алгоритм добре проаналізований і зараз широко використовується, як це було з його попередником DES.

Національний інститут стандартів і технологій США (NIST) опублікував специфікацію AES 26 листопада 2000 р. після п'ятирічної періоду, в ході якого були створені і оцінені 15 кандидатур. 26 травня 2002 р. AES був оголошений стандартом шифрування. Станом на 2009 рік AES є одним з найпоширеніших алгоритмів симетричного шифрування. Підтримка AES (і тільки його) введена фірмою Intel в сімейство процесорів x86 починаючи з Intel Core i7-980X Extreme Edition, а потім на процесорах Sandy Bridge.

Іншим криптографічним стандартом, який широко використовується багатьма системами є 3DES(Triple DES) - симетричний блоковий шифр, створений Уітфілд Діффі, Мартіном Хеллманом і Уолтом Тачманом в 1978 році на основі алгоритму DES, з метою усунення головного недоліку останнього - малої довжини ключа (56 біт), який може бути зламаний методом повного перебору ключа. Швидкість роботи 3DES в 3 рази нижче, ніж у DES, але крипостійкість набагато вище - час, необхідний для криптоаналізу 3DES, може бути в мільярд разів більше, ніж час, потрібний для взлому DES. 3DES використовується частіше, ніж DES, який легко зламуються за допомогою сьогоднішніх технологій (в 1998 році організація Electronic Frontier Foundation, використовуючи спеціальний комп'ютер DES Cracker, розкрила DES за 3 дні). 3DES є простим способом усунення недоліків DES. Алгоритм 3DES побудований на основі DES, тому для його реалізації можливо використовувати програми, створені для DES.

Окрім алгоритмів шифрування існують стандарти хеш-функцій такі як MD5 та сімейство хеш функцій SHA. MD5 - один із серії алгоритмів з побудови дайджесту повідомлення, розроблений професором Рональдом Л. Рівестом з Массачусетського технологічного інституту. Був розроблений в 1991 році, як більш надійний варіант попереднього алгоритму MD4. Пізніше Гансом Доббертіном були знайдені недоліки алгоритму MD4. Наприкінці 2008 року US-CERT закликав розробників програмного забезпечення, власників веб-сайтів і користувачів припинити використовувати MD5 в будь-яких цілях, так як дослідження продемонстрували ненадійність цього алгоритму.

Хеш-функції SHA-2 розроблені Агентством національної безпеки США і опубліковані Національним інститутом стандартів і технологій у федеральному стандарті обробки інформації FIPS PUB 180-2 в серпні 2002 року. У цей стандарт також увійшла хеш-функція SHA-1, розроблена в 1995 році. У лютому 2004 року в FIPS PUB 180-2 була додана SHA-224 . У жовтні 2008 року вийшла нова редакція стандарту - FIPS PUB 180-3. У липні 2006 року з'явився стандарт RFC 4634 "Безпечні хеш-алгоритми США (SHA і HMAC-SHA)", що описує SHA-1 і сімейство SHA-2.

Агентство національної безпеки від особи держави випустило патент на SHA-2 під ліцензією Royalty Free.

У зв'язку з бурхливим розвитком технологій зв'язку та мобільних пристроїв виникла необхідність у створенні криптосистем, що потребують малу кількість апаратних ресурсів для своєї роботи. Саме тому був затверджений ISO/IEC 29192, який являє собою стандарт на легку криптографію для застосування в обмежених середовищах.

В основі даного стандарту лежить шифр під назвою Enocoro. Enocoro досягає процесу шифрування при однієї десятої потужності, яка потрібна для поліпшеного стандарту шифрування (AES), сучасного стандарту для шифрування даних.

Він здатний забезпечити основні функції безпеки для компактного керуючого обладнання та датчиків, що використовуються в необхідній інфраструктурі при низьких витратах.

Сьогодні підвищена безпека необхідна для компактних пристроїв типу приладу для ідентифікації радіочастоти (RFID) і датчиків з бездротовими комунікаційними функціями, так як вони з'єднують все більшу кількість ПК, мобільних телефонів і персональних цифрових помічників (PDA) до Інтернету. Однак ці компактні прилади мають обмежені ресурси для обробки інформації в своїх центральних процесорах або пам'яті, тому життєво необхідна економічна за потужністю технологія, що сприяє шифруванню даних та ідентифікації приладів, а також низька ресурсна потреба для виконання цих функцій.

МЕК та ISO створили ISO/IEC 29192 як міжнародний стандарт на легку криптографію для застосування в обмежених середовищах і випустили ISO/IEC 29192, Частина 3, що стосується групових шифрів, прийнявши Enocoro в якості міжнародного еталона.

Сімейство групових шифрів Enocoro складається з двох алгоритмів, Enocoro-80, який має довжину ключа 80 біт, і Enocoro-128v2 з довжиною ключа 128 біт. Enocoro, заснований на високошвидкісному груповому шифрі MUGI, стандарт ISO/IEC, досягає свого скороченого розміру в апаратній схемі шляхом радикального скорочення кількості регістрів, необхідних для підтримки внутрішнього стану[36].

Далі, задіявши функцію перемішування структури 2-х ітерацій SPN, він здатний змішувати дані на регістрі більш ефективно, одночасно підвищуючи, тим самим, безпеку і скорочуючи споживану потужність.

Цей шифр є розширеним розвитком результатів дослідної роботи, дорученої NICT Японії в рамках проекту фінансового року 2005-2007 під назвою "Дослідження з безпечної передачі та зберігання масових даних".

Реально, якщо Enocoro-128v2 з ключем довжиною 128 біт порівняти з легким застосовуваним шифром AES-128, який пропонує такий же рівень безпеки, то в першому випадку швидкість обробки даних досягалася в 2 - 10 разів швидше, тобто шифрування даних виконувалося навіть з меншою обробкою. Далі, коли FPGA (польова програмована матриця логічних елементів) використовувалася для вимірювання споживаної потужності для шифрування одного біта, то AES вимагав 1.16 nW/s (нановат в секунду), а Enocoro - 128 v2 - 0.103 nW/s. Це підтверджує, що Enocoro-128v2 споживає приблизно одну десяту потужності іншого шифру для шифрування такої ж кількості даних.

3.2 Стандартизація в сфері КЗІ в Україні

Багатогалузева економіка України потребує введення і додержання єдиних обов'язкових норм, правил та вимог для усіх підприємств і організацій незалежно від форми власності. Розвиток науки і техніки призводить до створення великої кількості нової продукції, її оновлення, а це сприяє розробленню та впровадженню в промисловість різноманітних НД, які слід упорядковувати.

Упорядкування НД в умовах широкої кооперованої багатогалузевої промисловості внесло принципові зміни до методики і практики стандартизації, що стало початком системного підходу до цієї галузі діяльності, визнання її ролі в загальній системі економіки країни. Системний підхід дає змогу ліквідувати необґрунтовану різноманітність НД, яка мала місце в країні. Затверджується єдиний підхід до проведення стандартизації та розробляються національні стандарти. Із уведенням основоположних стандартів Національної стандартизації України закладається фундамент стандартизації як науки.

Національна стандартизація України - це система, яка визначає мету, принципи управління, основні завдання та загальні організаційно-технічні правила виконання всіх видів робіт зі стандартизації. Вона являє собою комплекс взаємопов'язаних правил і положень, які регламентують організацію та порядок проведення робіт з усіх питань практичної діяльності в галузі стандартизації країни.

Становлення України як суверенної правової держави, її послідовна інтеграція до світового економічного товариства потребують здійснення цілеспрямованої політики щодо утворення національної стандартизації з наближенням до міжнародних вимог на основі ринкової економіки.

Мета національної стандартизації - це встановлення положень, що забезпечують відповідність об'єкта стандартизації своєму призначенню та безпечність його для життя, здоров'я, манна людей, збереження тварин і рослин, охорону природного довкілля, що створює умови для раціонального використання всіх видів національних ресурсів, і сприяє усуненню технічних бар'єрів у торгівлі та підвищує конкурентоспроможність продукції, робіт та послуг до рівня розвитку науки, техніки і технологій. Мети національної стандартизації досягають розробляючи, упроваджуючи та засновуючи НД.

Державна політика у сфері стандартизації визначається законом України "Про стандартизацію" і базується на таких принципах:

- забезпечення участі фізичних і юридичних осіб в розробленні НД та вільного вибору ними видів стандартів при виробництві чи постачанні продукції, якщо інше не передбачено законодавством;

- відкритості та прозорості процедур розроблення і прийняття НД відповідно до інтересів усіх зацікавлених сторін, підвищення конкурентоспроможності продукції вітчизняних виробників;

- доступності НД та інформації про них для користувачів;

- відповідності НД до законодавства;

- адаптації до сучасних досягнень науки і техніки, враховуючи стан національної економіки;

- пріоритетності прямого впровадження в Україні міжнародних та регіональних НД;

- дотримання міжнародних та європейських правил і процедур стандартизації;

- участі у міжнародній (регіональній) стандартизації;

прийняття і застосування органами стандартизації на території України Кодексу доброчинної практики з розроблення, прийняття і застосування стандартів відповідно до Угоди WTO про технічні бар'єри в торгівлі, що є додатком до Маракеської угоди про заснування Світової організації торгівлі.

З метою виконання політики у сфері стандартизації перед нею поставлені різні завдання, основними з яких є:

- забезпечення безпечності продукції, процесів і послуг для життя, здоров'я та майна людей, для тварин, рослин та охорона природного довкілля;

- захист та збереження майна і продукції, зокрема під час їх транспортування чи зберігання;

- підвищення якості продукції, процесів та послуг відповідно до рівня розвитку науки, техніки, технологій і потреб людей;

- реалізація прав споживачів;

- забезпечення відповідності об'єктів стандартизації своєму призначенню;

- забезпечення технічної та інформаційної сумісності і взаємозамінності;

- забезпечення збіжності та відтворюваності результатів контролювання;

- установлення оптимальних вимог до суспільно важливої продукції, процесів та послуг;

- заощадження всіх видів ресурсів та поліпшення техніко-економічних показників виробництва;

- забезпечення безпеки господарських об'єктів, складних технічних систем, враховуючи допустимий ризик виникнення природних і техногенних катастроф та інших надзвичайних ситуацій;

- розвиток міжнародного та регіонального співробітництва; - усунення технічних бар'єрів у торгівлі.

Нині чинна Національна стандартизація України затверджена і введена в дію у 2002 р. Вимоги до Національної стандартизації України та правил її функціонування наведені в комплексі основоположних стандартів.

- ДСТУ 1.0:2003 НС. Основні положення.

- ДСТУ 1.1:2001 НС. Стандартизація та суміжні види діяльності. Терміни та визначення основних понять.

- ДСТУ 1.2:2003 НС. Правила розроблення національних НД.

- ДСТУ 1.3:2004 НС. Правила розроблення, побудови, викладання, оформлення, погодження, прийняття та позначення ТУ.

- ДСТУ 1.5:2003 НС. Правила побудови, викладання, оформлення та вимоги до змісту НД.

- ДСТУ 1.6:2004 НС. Правила реєстрації НД.

- ДСТУ 1.7:2001 НС. Правила і методи прийняття та застосування міжнародних і регіональних стандартів.

- ДСТУ 1.8:2005 НС. Правила розроблення програми робіт зі стандартизації.

-ДСТУ 1.9:2005 НС. Правила розроблення та впровадження міждержавних стандартів.

- ДСТУ 1.10:2005 НС. Державні класифікатори соціально-економічної інформації. Основні положення, правила розроблення, введення та скасування.

- ДСТУ 1.11:2004 НС. Правила проведення експертизи проектів національних НД.

- ДСТУ 1.12:2004 НС. Правила ведення справ НД.

- ДСТУ 1.13:2001 НС. Правила надавання повідомлень торговим партнерам України.

- ДСТУ ISO/1 ЕС Кодекс усталених правил стандартизації. Guide 59:2000.

Найважливіші структурні елементи Національної стандартизації України:

1. Органи та служби стандартизації.

2. Комплекс НД.

3. Система контролю за впровадженням і виконанням НД.

До основних положень Національної стандартизації України належать:

- основна мета та завдання;

- суб'єкти та об'єкти стандартизації;

- організація робіт зі стандартизації;

- види НД;

- порядок розробки, затвердження, перегляду та використання НД;

- державний нагляд за додержанням НД;

- міжнародне співробітництво.

До об'єктів Національної стандартизації України належать:

а) організаційно-методичні та загально технічні об'єкти:

- організація проведення робіт зі стандартизації;

- термінологічні системи різних галузей знань та діяльності;

- класифікація та кодування інформації;

- методи випробовування системи та методи забезпечення й контролювання якості та керування нею;

- метрологічне забезпечення;

- системи фізичних величин та одиниць вимірювання;

- стандартні довідкові дані про фізичні сталі та властивості речовин і матеріалів;

- системи технічної та іншої документації загального застосування;

- типорозмірні ряди та типові конструкції виробів загальномашинобудівного використання;умовні позначки, зокрема графічні, та їхні системи, розмірні геометричні системи та їх контролювання;

- інформаційні технології, зокрема програмні та технічні засоби інформаційних систем загального призначення;

- довідкові дані про властивості речовин та матеріалів;

б) продукція, призначена для використання у різних видах економічної діяльності, державних закупівель та широкого вжитку;

в) системи та господарські об'єкти, які мають важливе значення та їхні складники, зокрема транспорт, зв'язок, енергосистема, використання природних ресурсів тощо;

г) вимоги щодо захисту прав споживачів, охорони праці, ергономіки, технічної естетики, охорони природного довкілля;

д) будівельні матеріали, процеси, типові деталі та будинки, системи функційного забезпечення будинків, складні будівельні споруди та методи контролювання у будівництві;

е) потреби оборони, мобілізаційної готовності та державної безпеки.

У Національній стандартизації України особливо підкреслюється взаємозв'язок стандартизації з технічним прогресом, її роль у підвищенні технічного рівня виробництва та якості продукції, необхідність досягнення високого світового рівня продукції, процесів, робіт, послуг. У зв'язку з цим до НД як носія передового світового досвіду висуваються високі вимоги, які зможуть забезпечити розроблення та виробництво високоякісної продукції, процесів, послуг, раціональне використання всіх ресурсів, охорону зовнішнього середовища, безпеку праці, охорону здоров'я населення, захист його від шкідливих дій тощо.

Як правило, вимоги, що запроваджуються у НД, мають бути підвищеними відповідно до вже досягнутого на практиці рівня і відповідати перспективному світовому рівню техніки і технології, вимогам зовнішнього та внутрішнього ринків, рекомендаціям міжнародних організацій зі стандартизації.

Органи стандартизації - це підрозділи, які виконують функції державного управління всіма підприємствами й організаціями з питань стандартизації, здійснюють координуючу діяльність і діють від імені держави.

З набуттям незалежності в Україні виникла потреба у створенні національної стандартизації та визначенні суб'єктів стандартизації. До суб'єктів стандартизації згідно із законом України "Про стандартизацію" належать:

- центральний орган виконавчої влади у сфері стандартизації;

- рада стандартизації;

- технічні комітети стандартизації (ТК);

- інші суб'єкти, що займаються стандартизацією.

Центральний орган виконавчої влади, що забезпечує формування державної політики у сфері стандартизації:

- організовує, координує та провадить діяльність щодо розроблення, схвалення, прийняття, перегляду, зміни, розповсюдження національних стандартів відповідно до цього Закону;

- вживає заходів щодо гармонізації розроблюваних національних стандартів з відповідними міжнародними (регіональними) стандартами;

- встановлює правила розроблення, схвалення, прийняття, перегляду, зміни та втрати чинності національних стандартів, їх позначення, класифікації за видами та іншими ознаками, кодування та реєстрації;

- забезпечує адаптацію стандартів, процедур оцінки відповідності, процедур сертифікації та практики відповідно до сучасних досягнень науки і техніки;

- формує програму робіт із стандартизації та не рідше одного разу на шість місяців публікує актуалізовану програму;

- організовує створення і ведення національного фонду нормативних документів та Національного інформаційного центру міжнародної інформаційної мережі (ISONET);

- організовує розповсюдження офіційних публікацій національних стандартів, правил усталеної практики і класифікаторів та іншої друкованої продукції стосовно прийнятих національних стандартів, стандартів та документів відповідних міжнародних та регіональних організацій стандартизації, членами яких він є чи з якими співпрацює відповідно до положень цих організацій або відповідних договорів, а також делегує ці повноваження іншим організаціям;

- як національний орган стандартизації представляє Україну в міжнародних та регіональних організаціях із стандартизації.

Центральний орган виконавчої влади, що реалізує державну політику у сфері стандартизації, виконує такі основні функції:

- забезпечує реалізацію державної політики у сфері стандартизації, у тому числі вживає обґрунтованих заходів для прийняття і застосування органами стандартизації на території України, а також регіональними органами стандартизації, створеними на території України, членами яких вони є, Кодексу доброчинної практики з розроблення, прийняття і застосування стандартів відповідно до Угоди СОТ про технічні бар'єри в торгівлі, що є додатком до Маракеської угоди про заснування Світової організації торгівлі;

- бере участь у розробленні і узгодженні технічних регламентів та інших нормативно-правових актів з питань стандартизації;

- вживає заходів щодо виконання зобов'язань, зумовлених участю в міжнародних (регіональних) організаціях стандартизації;

- співпрацює у сфері стандартизації з відповідними органами інших держав;

- приймає рішення щодо створення та припинення діяльності технічних комітетів стандартизації, визначає їх повноваження та порядок створення;

- організовує надання інформаційних послуг з питань стандартизації;

- встановлює процедуру та приймає рішення щодо створення та припинення діяльності технічних комітетів стандартизації, визначає їх повноваження та порядок створення;

- забезпечує відповідність національних стандартів цьому Закону;

- встановлює символи або знаки, що засвідчують відповідність продукції національним стандартам бере участь у розробленні технічних регламентів та підготовці робочої програми з технічних регламентів;

- бере участь у підготовці міжнародних і регіональних стандартів, які розробляються відповідними міжнародними та регіональними організаціями, та підготовці рекомендацій для процедур оцінки відповідності, забезпечуючи врахування інтересів України;

- співпрацює та проводить консультації з відповідними органами у сфері стандартизації інших держав, у разі потреби вживає заходів для розв'язання суперечок або скарг, які виникають;

- веде реєстр стандартів та документів з стандартизації;

- забезпечує і сприяє співробітництву між виробниками, постачальниками, споживачами продукції, процесів і послуг та відповідними державними органами у сфері стандартизації.

Центральний орган виконавчої влади, що реалізує державну політику у сфері стандартизації, може виконувати інші функції та повноваження згідно із законами України.

Слід зазначити, що в указі Президента від 18 березня 2003р. №225/2003 чітко вказано, що колишній Державний комітет України з питань технічного регулювання та споживчої політики є спеціально уповноваженим центральним органом виконавчої влади у сфері стандартизації, метрології, підтвердження відповідності та захисту прав споживачів і має функції у сфері стандартизації а саме:

- вживає заходів для гармонізації розроблюваних національних

стандартів із відповідними міжнародними (регіональними) стандартами;

- бере участь у розробленні і узгодженні технічних регламентів та інших нормативно-правових актів з питань стандартизації;

- установлює правила розроблення, схвалення, прийняття, перегляду, зміни та втрати чинності національними стандартами, їх позначення,

- класифікації за видами та іншими ознаками, кодування та реєстрації;

- організовує і координує проведення робіт у сфері стандартизації;

- схвалює та приймає національні стандарти відповідно до

законодавства;

- здійснює реєстрацію нормативних документів;

- вживає заходів до виконання зобов'язань, зумовлених участю України в міжнародних (регіональних) організаціях стандартизації;

- формує програму робіт із стандартизації та координує її виконання;

- приймає рішення щодо створення та припинення діяльності технічних комітетів стандартизації, визначає їх повноваження і порядок створення;

- організовує створення і ведення національного фонду

нормативних документів та національного центру міжнародної

інформаційної мережі ISONET WTO;

- організовує надання інформаційних послуг з питань стандартизації;

- здійснює відповідно до законодавства державний нагляд за

додержанням стандартів, норм і правил, інших вимог щодо безпеки та

якості продукції;

- здійснює координацію робіт щодо створення і функціонування державної системи кодифікації продукції[38].

Однак в чинному указі від 13 квітня 2011р. №465/2011, який є його наступником, взагалі не вказано, який орган є центральним виконавчим у сфері стандартизації. В указі лише зазначено, що існуюча на даний момент Державна інспекція України(яка замінила колишній Держстандарт) з питань захисту прав споживачів здійснює державний нагляд за додержанням стандартів, норм і технічних регламентів.

Технічні комітети стандартизації

Центральний орган виконавчої влади, що реалізує державну політику у сфері стандартизації, створює технічні комітети, на які покладаються функції з розроблення, розгляду та погодження міжнародних (регіональних) та національних стандартів. Технічні комітети стандартизації формуються з урахуванням принципу представництва всіх заінтересованих сторін. До роботи в технічних комітетах стандартизації залучаються на добровільних засадах уповноважені представники органів виконавчої влади, органів місцевого самоврядування, суб'єктів господарювання та їх об'єднань, науково-технічних та інженерних товариств (спілок), товариств (спілок) споживачів, відповідних громадських організацій, провідні науковці і фахівці. Організаційне забезпечення діяльності технічних комітетів здійснюють їх секретаріати. Положення про технічні комітети затверджує центральний орган виконавчої влади, що забезпечує формування державної політики у сфері стандартизації. Технічні комітети стандартизації не можуть мати на меті одержання прибутку від своєї діяльності. Членство в технічних комітетах стандартизації є добровільним.

Центральні органи виконавчої влади та організації мають право у відповідних сферах діяльності та в межах повноважень з урахуванням своїх господарських та професійних інтересів організовувати і виконувати роботи із стандартизації, зокрема:

- розробляти, схвалювати, приймати, переглядати, змінювати стандарти відповідного рівня та припиняти їх дію, встановлювати правила їх розроблення, позначення та застосування представляти Україну у відповідних спеціалізованих міжнародних та регіональних організаціях стандартизації, виконувати зобов'язання, передбачені положеннями про ці організації;

- створювати і вести реєстри нормативно-правових актів та нормативних документів для забезпечення своєї діяльності та інформаційного обміну;

- видавати і розповсюджувати свої стандарти, документи спеціалізованих відповідних міжнародних та регіональних організацій стандартизації, членами яких вони є чи з якими співпрацюють на підставі положень про ці організації або відповідних договорів, а також делегувати ці повноваження іншим організаціям.

Центральні органи виконавчої влади та організації повинні інформувати центральний орган виконавчої влади, що реалізує державну політику у сфері стандартизації, про роботи із стандартизації за своїми напрямами для виконання Кодексу доброчинної практики з розроблення, прийняття та застосування стандартів відповідно до Угоди СОТ про технічні бар'єри в торгівлі що є додатком до Маракеської угоди про заснування Світової організації торгівлі 1994 року.

Міністерство оборони України, враховуючи особливості цієї сфери, визначає порядок застосування стандартів для задоволення потреб оборони України відповідно до покладених на нього функцій.

В Україні стандартизацію в сфері криптографії здійснює Департамент криптографічного захисту інформації при Державній служби спеціального зв'язку та захисту інформації в Україні. До його завдань входить:

- підготовка пропозицій щодо формування та реалізації державної політики у сфері криптографічного захисту інформації;

- підготовка пропозицій щодо участі у формуванні та реалізації державної політики у сфері електронного документообігу органів державної влади та місцевого самоврядування, розроблення та впровадження електронного цифрового підпису в органах державної влади та органах місцевого самоврядування;

- методичне керівництво та координація діяльності органів державної влади, органів місцевого самоврядування, військових формувань, підприємств, установ і організацій у сфері криптографічного захисту інформації;

- здійснення нормативно-правового регулювання у галузі криптографічного захисту інформації;

- визначення вимог і порядку створення та розвитку систем криптографічного захисту службової інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;

- виконання повноважень органу ліцензування у галузі криптографічного захисту інформації;

- визначення перспективних напрямів, розробка та здійснення інших заходів щодо розвитку систем криптографічного захисту інформації;

- здійснення технічного регулювання у сфері криптографічного захисту інформації, організація та проведення перевірки оцінки відповідності, розробка в установленому порядку стандартів, технічних регламентів і технічних умов;

- затвердження технічних і технологічних вимог до акредитованих центрів сертифікації ключів;

- організація розроблення, виготовлення та постачання ключових документів до засобів криптографічного захисту таємної та службової інформації;

- організація та супроводження створення засобів криптографічного захисту інформації та засобів спеціального зв'язку в частині забезпечення ними криптографічних, інженерно-криптографічних, спеціальних та інженерно-спеціальних вимог;

- організація та проведення робіт з допуску до експлуатації засобів криптографічного захисту таємної та службової інформації, засобів спеціального зв'язку, визначення криптографічних алгоритмів і протоколів як рекомендованих, проведення тематичних (контрольних тематичних) досліджень засобів криптографічного захисту таємної та службової інформації, засобів спеціального зв'язку, криптографічних алгоритмів і протоколів;

- організація та координація разом із центральним органам виконавчої влади у сфері стандартизації, метрології та сертифікації роботи з проведення сертифікації засобів криптографічного захисту інформації, організація та проведення державної експертизи у сфері криптографічного захисту інформації;

- організація та контроль процесу експлуатації та технічного обслуговування засобів і систем криптографічного захисту інформації, засобів спеціального зв'язку під час проведення їх тематичних (контрольних тематичних) досліджень;

- організація роботи Консультативної ради з питань організації та забезпечення безпеки спеціальних видів зв'язку, Експертної комісії з питань проведення державної експертизи у сфері криптографічного захисту інформації Держспецзв'язку та Ліцензійної комісії Адміністрації Держспецзв'язку з питань криптографічного захисту інформації;

- організація та проведення наукових досліджень у сфері криптографічного захисту інформації;

- здійснення контролю за якістю приймання продукції, інших товарів військового призначення, які виготовляють (модернізують) на замовлення Держспецзв'язку.

В Україні прийнято ряд державний криптографічних стандартів, що використовуються для захисту як державної інформації, так і приватної:

- ДСТУ 4145-2002 "Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння".

- ДСТУ CWA 14167-3:2008 "Криптографічний модуль для послуг генерування ключів провайдером послуг сертифікації. Профіль захисту CMCKG-PP"

- ДСТУ ISO/IEC 15946-1:2006 "Інформаційні технології. Методи захисту. Криптографічні методи, що ґрунтуються на еліптичних кривих. Частина 1. Загальні положення"

- ДСТУ ISO/IEC 15946-3:2006 "Інформаційні технології. Методи захисту. Криптографічні методи, що ґрунтуються на еліптичних кривих. Частина 3. Установлення ключів"

- ДСТУ ISO/IEC 19790:2009 "Інформаційні технології. Методи захисту. Вимоги щодо захисту криптографічних модулів"

- ГОСТ 34.310-95 "Информационная технология. Криптографическая защита информации. Процессы выработки и проверки электронной цифровой подписи на базе ассиметричного криптографического алгоритма"

3.3 Висновки до розділу 3

В сучасному світі стандартизація відіграє роль товарного орієнтира якості, дане явище не оминуло і криптографію. Оскільки криптографічні системи це такий самий продукт як і інші, на нього створені міжнародні та національні стандарти.

В ці стандарти входять перевірені алгоритми та системи шифрування, що відповідають сучасним вимогам користувачів. Особливістю саме криптографічних стандартів є те, що вони виступають гарантами довіри для тих, хто їх використовує. Відповідаючи тому чи іншому стандарту користувач впевнений в надійності системи. Проаналізувавши нормативні документі, що стосуються стандартизації в Україні, з'ясовано, що згідно законодавства повинен бути створений центральний виконавчий орган що, створює і виконує політику у сфері стандартизації, але фактично його не існує з 2011р., з часу втрати чинності указу президента про Держстандарт.

Висновки

Відповідно до поставлених завдань були проаналізовані особливості нормативно-правового регулювання криптографічного захисту інформації в Україні та світі. Предметом аналізу виступало міжнародне та національне законодавство у сфері криптографічного захисту інформації а також політика держав у даному напрямку.

Досвід законодавчого регулювання а також політика у цій сфері зарубіжних країн дали змогу виявити ряд закономірностей та зробити ряд висновків. Проаналізувавши історичні підвалини розвитку КЗІ, можна стверджувати що криптографія за період свого формування стала не просто інструментом засекречення інформації а взагалі невід'ємним атрибутом будь-якої сучасної інформаційної системи, а з появою асиметричної криптографії - основою електронної комерції. Розглядаючи політику окремих країн у даній сфері, можна дійти висновку, що сучасна тенденція в сфері імпорту, експорту та використання засобів КЗІ направлена на пом'якшення контролю у цій сфері, це каже про те, що криптографія перестали бути справою виключно держави як це було раніше.

Здійснивши огляд нормативно-правового забезпечення господарських відносин у сфері КЗІ можна зробити висновок, що Україна має жорсткий механізм контролю за діяльністю господарств, що мають відношення до криптографічного захисту. Майже всі господарські відносини, що пов'язані с КЗІ підлягають ліцензуванню. Виявлено також деякі недоліки в самих нормативних актах, зокрема тих, що мають відношення до визначення понять.

Саме питання криптографічного захисту інформації в Україні розкрите в ряді окремих нормативних актах, зокрема в "Положенні про порядок здійснення криптографічного захисту інформації", але це настільки обширне питання, що заслуговує його врегулювання на рівні закону.

Крім того, уніфікація в єдиному законі усіх аспектів, що пов'язані з криптографією є більш зручним підходом. В роботі розкрито питання актуальності і доцільності державного контролю за використанням засобів КЗІ а також чим цей контроль може загрожувати суспільству. Проаналізувавши ряд наукових праць та різного роду статей в даному напрямку, можна зробити висновок, що політика обмеження на засоби КЗІ в середині країни, дає більше негативного впливу на суспільство. Обмеження на створення та використання КЗІ по-перше пригальмовує розвиток власної виробничої інфраструктури в даному напрямку, а по-друге позбавляє права суспільство захищатися тими засобами КЗІ, якими воно хоче.

В окремому розділі висвітлені питання, що розкривають сутність стандартизації її роль в суспільстві та відношення до КЗІ. Аналізуючи нормативно-правову документацію було виявлено, що на сьогодні не визначений орган центральної влади у сфері стандартизації, який би формував і реалізовував політику у даному напрямку. У сфері ж КЗІ питанням стандартизації займається Державна служба спеціального зв'язку та захисту інформації України, яка згідно своїх завдань, співпрацюючи зі центральним органом виконавчої влади повинна здійснювати сертифікацію засобів КЗІ.

Список використаних джерел

1. Брассар Ж. Современная криптология. - М.: Полимед, 1999. - 176c.

2. Бауеэр Ф. Расшифрованные секреты. - М.: Мир, 2007. - 550с.

3. Земор Ж. Курс криптографии. - Ижевск.: РХД, 2006. - 256с.

4. Шнайер Б. Секреты и ложь. - СПБ.: Питер, 2003. - 368с.

5. Ященко В.В. Введение в криптографию. - М.:МЦНМО, 2012. - 352

6. Шнаер Б. Прикладная криптография. - М.: Триумф, 2002. - 816с.

7. Бабаш А.В.,Шанкин Г.П. История криптографии. Часть 1. - М.: Гелиос АРВ, 2002. - 240 с. - 3000 экз. - ISBN 5-85438-043-9

8. Жельников В. Криптография от папируса до комапьютера. - М.: ABF, 1996. - 335 с. - ISBN 5-87484-054-0

9. Oded Goldreich, Foundations of Cryptography, Volume 1: Basic Tools, Cambridge University Press, 2001, ISBN 0-521-79172-3

10. OECD Document C(97)62 Annex 2, "Guidelines for Cryptography Policy", March 12, 1997.

11. "Политика применения криптографии в разных странах мира" [електронний ресурс]//режим доступу www.militaryarticle.ru/stat/216_stat.html

12. Simon Singh, The Code Book, New York: Anchor Books, 2000 ISBN 9780385495325

13. S. Goldwasser, S Micali, and C. Rackoff, "The Knowledge Complexity of Interactive Proof Systems", SIAM J. Computing, vol. 18 num.

14. Ліцензійні умови у редакції наказу Державного комітету України з питань регуляторної політики та підприємництва від 26.01.2008 №8/216

15. Закон України "Про інформацію"(за станом на 02.10.2010 р.) Верховна Рада України. - Київ: Парламентське видавництво,2010. - 34с.

16. Закон України "Про захист інформації в інформаційно-телекомунікаційних системах " (за станом на 11.05.2004 р.) Верховна Рада України. - Київ: Парламентське видавництво, 2004. - 25 с.

17. Закон України "Про підприємництво" (за станом на 15.10.1992 р.) Верховна Рада України. - Київ: Парламентське видавництво, 1993 р. - 15 с.

18. Положення "Про ліцензування підприємницької діяльності"// Урядовий кур'єр. - 2006 № 201

19. Кодекс України Про адміністративні правопорушення//Уряовий кур'єр. - 2013. № 126.

20. Кримінальний кодекс України. Науково-практичний коментар: за заг. Ред В.Я. Тація, В.П Пшонки, В.І. Борисова, В.І. Тююгіна. - 5-те вид.,допов. - Х.: Право, 2013.

21. Гудзь О. Еволюція форм правочинів: від усної - до "електронної"//Юридичний журнал. - 2006. - № 1(43). - С. 32-37.

22. Кирилюк Дмитро. Правові засади використання електронних розрахункових документів та електронних підписів в банківській діяльності // Юридичний журнал. №12/2005.

23. Закон України "Про електронний цифровий підпис" від 22.05.2003 р. № 852-IV.

24. Наказ ДПА України,,Про подання електронної податкової звітності" від 10.04.08 №233, зареєстрований у Міністерстві юстиції України 16.04.08 за № 320/15011.

25. Лінецький Сергій. Як використовувати електронні документи? Юридичний журнал. №9/2003.

26. Дутов М. Сравнительный анализ европейского законодательства в области электронного документооборота // Підприємництво, господарство і право. 2002. № 8. - С. 25-28

27. Блажівська Наталя. Електронний правочин // Юридичний журнал. №1/2007.

28. Положення про технічний захист інформації в Україні затв. Пост. Кабміну від 09.09.1994 р. №632

29. Eugene G. Grosser Криптография и политика[електронний ресурс] // режим доступу: www.average.org/freecrypto/crypto.html

30. Василий Громов Криптография в политике[електронний ресурс]// режим доступу:www.e-reading.ws/chapter.php/17128/506/Gromov,_Vasil'ev_-_Enciklopediya_bezopasnosti.html

31. Бичківський Р.В., Столярчук П.Г., Гамула П.Р. Метрологія, стандартизація, управління якістю і сертифікація: Підруч. - Львів: Вид-во Haц. ун-ту "Львівська політехніка", 2004. - 500 с.

32. Международные и региональные организации по стандартизации и качеству продукции. - М.: Изд-во стандартов, 1990. - 244 с.

33. Мороз В. І., Єгоров В. Г., Смаг В.К. та ін. Метрологія, стандартизація і сертифікація: Навч. посіб. - Харків: ХарДАЗТ, 2000. - 77

34. Загальні вимоги до органів, які проводять оцінювання і сертифікацію/реєстрацію систем якості: Настанови ISO/IEC 62 // Інформ. бюл. з міжнар. стандартизації. - 1997. - МІ. - С. 266--283.

35. Медведев А.М. Международная стандартизация - М.: Издательство стандартов, 1988

36. Закон України "Про стандартизацію" від 16.10.2012 Верховна Рада України. - Київ: Парламентське видавництво, 2010 р. - 24 с.

37. Шаповал М. І. Основи стандартизації, управління якістю та сертифікації. - К; Укр. фін. ін-т, 2001. - 167 с.

38. Порядок проведення робіт із сертифікації продукції іноземного виробництва, що виготовляється серійно: Наказ Держстандарту України від 18.08.98 №65 зареєстрований у Міністерстві юстиції України 14.09.98 № 657/3097.

39. Кириченко Л. С, Чуніхіна II. М. Сертифікація та якість продукції у сучасних умовах господарювання. - К.: КДТЕУ. 1996. - 50 с.

40. Положення про порядок здійснення криптографічного захисту інформації в Україні від 28.08.2009 Урядовий кур'єр. - 2006 № 260

Размещено на Allbest.ru