| ua | ru | en |
:: Про нас | Продукти | Послуги | Публикації | Аналітика | Контакти | Вход для клиентов
:: Про групу компаній | Співробітники | Партнери |


Аналітика

 

Аналітичний огляд

проблем електронного права в України

 

(короткий огляд стану справ і проблем поточного періоду станом на березень 2005 року)

 

Бурхливий розвиток комп’ютерних технологій і засобів телекомунікацій створили взаємовідносини «людина-машина-людина», в зв’язку з чим почало розвиватися відповідне законодавство і виник термін «комп’ютерне право» (Computer Law). Останні десятиріччя активно розвиваються такі напрямки електронного суспільства, як електронні платежі та електронний банкінг (e-Banking), електронна комерція (e-Commerce), електронний уряд (e-Government). Розвинені держави законодавчо визначили терміни «електронний документ», «електронний документообіг», «електронний підпис» тощо. Саме тому поряд з терміном «комп’ютерне право» все частіше використовується термін «електронне право» (Electronic Law), який підкреслює галузь права, пов’язану не тільки з питаннями конфіденційності даних та авторськими правами в електронному суспільстві, а й з фінансовими та договірними зобов’язаннями, які виникають на основі електронних угод, платежів та трансакцій з використанням електронного підпису.

Слід підкреслити, що питання інформаційної політики є питанням забезпечення інформаційної безпеки України.

 

Електронне право в Україні

Розвиток технологій електронного документообігу в Україні розпочався задовго до прийняття відповідних законодавчих актів. Ще в 1994 році була впроваджена система електронних платежів Національного банку України (СЕП НБУ), яка охопила усю банківську систему. На той час ще не були сформовані відповідні міжнародні та європейські законодавство і технічні стандарти електронного підпису, а тому будувалась система, виходячи із розуміння суті справи спеціалістами України. До прийняття відповідних законодавчих актів України кожна організація, зокрема комерційні банки, будувала технічну модель електронного документообігу на свій лад. В банківський системі ці питання регулювались Постановами Національного банку, але відповідних законодавчих актів, які б врегульовували правові відносини у вказаній сфері на державному рівні явно не вистачало.

 

На поточний момент діють такі базові законодавчі акти в галузі електронного права та захисту інформації:

·   Закон України «Про інформацію» 2657-XII від 02.10.1992

·   Закон України «Про захист інформації в автоматизованих системах» 80/94-ВР від 5.07.1994 р.

·   Закон України «Про електронний цифровий підпис» від 22 травня 2003 року №852-IV;

·   Закон України «Про електронні документи та електронний документообіг» від 22.05.2003 №851-IV;

·   Закон України «Про ліцензування певних видів господарської діяльності» № 1775-III від 1.07.2000 р.

·   Постанова Кабінету Міністрів України (КМУ) від 24 лютого 2003 р. №208 «Про заходи щодо створення електронної інформаційної системи "Електронний Уряд"»;

·   «Порядок засвідчення наявності електронного документа (електронних даних) на певний момент часу», затверджений постановою КМУ від 26 травня 2004 р. №680;

·   «Порядок акредитації центру сертифікації ключів», затверджений постановою КМУ від 13 липня 2004 р. №903.

·   «Положення про центральний засвідчу вальний орган», затверджене постановою КМУ від 28 жовтня №1451.

·   «Порядок застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності», затверджений постановою КМУ від 28 жовтня 2004  №1452.

·   «Типовий порядок здійснення електронного документообігу в органах виконавчої влади», затверджений постановою КМУ від 28 жовтня 2004 №1453.

Є також велика кількість інших нормативних документів, що стосуються сфери інформаційного законодавства: Кодекси України (Кримінальний, Адміністративний, Господарчий, процесуальні), Закони України: "Про державну таємницю", "Про підприємництво", "Про державний контроль за міжнародними передачами товарів військового призначення та подвійного використання", "Про Національну програму інформатизації", "Про наукову і науково-технічну діяльність", "Про наукову і науково-технічну експертизу", "Про основи національної безпеки України", "Про Національну систему конфіденційного зв'язку" та десятки підзаконних нормативних актів практично всіх державних установ.

 

Стан справ законодавства України можна коротко охарактеризувати словами з висновку д-ра Бернарда Шлоера (експерт програми ТАСІС) відносно оцінки деяких законодавчих актів України: «Законодавство про інформацію має ознаки того, що межі його ясного і зрозумілого сприйняття ось-ось залишаться позаду».

Приведення українського інформаційного законодавства до стандартів ЄС слід розпочати з впорядкування термінології, яка використовується законодавцем у цій сфері.

 

Недоліки базових визначень електронного права в Україні

 

Термін «інформація»

Для розуміння правових засад захисту інформації в першу чергу слід визначитись з самим предметом права – інформацією. В українському законодавстві використовується декілька понять «інформація» (табл.1):

Таблиця 1

п/п

Законодавчий акт

Визначення терміну

«інформація»

1.        

Закон України «Про інформацію», (ст. 1)

Під інформацією цей Закон розуміє документовані або публічно оголошені відомості про події та явища, що відбуваються у суспільстві, державі та навколишньому середовищі

2.        

Цивільний кодекс України, (ч. 1 ст. 200)

Інформацією є документовані або публічно оголошені відомості про події та явища, що мали або мають місце у суспільстві, державі та навколишньому середовищі

3.        

Закон України «Про телекомунікації»,(ст 1)

Інформація - відомості, подані у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб.

4.        

Закон України «Про захист економічної конкуренції», (ст. 1)

Інформація - відомості в будь-якій формі й вигляді та збережені на будь-яких носіях (у тому числі листування, книги, помітки, ілюстрації (карти, діаграми, органограми, малюнки, схеми тощо), фотографії, голограми, кіно-, відео-, мікрофільми, звукові записи, бази даних комп'ютерних систем або повне чи часткове відтворення їх елементів), пояснення осіб та будь-які інші публічно оголошені чи документовані відомості.

5.        

Закон України «Про захист інформації в автоматизованих системах», (ст. 1)

Інформація в автоматизованих системах – сукупність усіх даних і програм, які використовуються в автоматизованих системах незалежно від засобу їх фізичного та логічного представлення.

6.        

ДСТУ 2874-94

Інформація (для процесу оброблення даних) – будь-які знання про предмети, факти, поняття т.ін. проблемної сфери, якими обмінюються користувачі системи оброблення даних.

7.        

ДСТУ 2226-93

Інформація - відомості про об'єкти, процеси та явища.

 

Як видно із наведених визначень, чіткого тлумачення одного й того ж терміну немає. А чітке визначення важливе в першу чергу для розуміння самого предмету законодавчого регулювання з метою подальшого встановлення правових основ - одержання, використання, поширення, зберігання та охорони. В наведених визначеннях терміну «інформація» формулювання містять як окреслення загальних характеристик цього поняття, так і перерахування конкретних ознак, зокрема, форму подачі інформації та види носіїв інформації.

Так у визначенні, яке надається в Законі України «Про інформацію», інформація може бути представлена як «документовані або публічно оголошені відомості». Тоді як поняття «документовані відомості» та об’єкт правового захисту стає зрозумілим із змісту ст. 27 Закону України «Про інформацію», то поняття «публічно оголошені відомості» в цьому Законі немає. Але аналізуючи зміст цього закону, можна припустити, що це така інформація, яка поширена через аудіо- та аудіовізуальні засоби масової інформації, під час публічних виступів тощо. До речі, «документовані відомості» мають співвідноситися з визначенням «документу», що наданий в Законі «Про електронний цифровий підпис», де наведені вимоги, що документ обов’язково має містити «підпис», але це не відповідає суті визначень в інших Законах (3,4 та частково 5 Таблиці 1) та стандартах (6,7).

Плутанина з визначенням «інформації» продовжується далі й тому, що одна сутність визначається через іншу, та навіть цілу низку інших понять.

 

Термін «дані»

Визначений в Законі України «Про захист інформації в автоматизованих системах», термін «інформація» поданий як сукупність «зрозумілих» для автоматизованої системи даних (символів, кодів, сигналів, команд тощо), зафіксованих у електронному вигляді, які забезпечують можливість обробки інформації. Але сама по собі така сукупність даних без спеціальних технічних та програмних засобів їх обробки не може бути сприйнята користувачем як інформація в доступному для нього вигляді.

Визначення «даних» також неоднозначне:

Таблиця 2

п/п

Законодавчий акт

Визначення терміну

«дані»

1.        

Закон України «Про електронні документи та електронний документообіг», (стаття 1)

дані - інформація, яка подана у формі, придатній для її оброблення електронними засобами.

2.        

Закон України «Про телекомунікації», (ст 1)

дані - інформація у формі, придатній для  автоматизованої обробки її засобами обчислювальної техніки.

3.        

«Порядок підключення до глобальних мереж передачі даних», (п.2)

дані - інформація в електронному вигляді, яка створюється, зберігається та передається з використанням глобальних мереж.

4.        

«Порядок захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах» (п.1)

дані - інформація, яка передається  мережею  передачі даних незалежно від способу її фізичного та логічного представлення.

5.        

ДСТУ 2874-94

дані – інформація, подана у формалізованому вигляді, придатному для пересилання, інтерпретування чи оброблення за участю людини або автоматизованими засобами

6.        

ENFOPOL 55 - Резолюції Ради ЄС «Про оперативні запити правоохоронних органів стосовно телекомунікаційних мереж загального користування та послуг»

дані (інформація) – представлення інформації відповідним для зв’язку, тлумачення, зберігання і обробки чином.

 

Як видно з наведених визначень, законодавець термін «дані» пов’язує саме з формою, в якій подана інформація і завдяки якій інформація придатна до обробки електронними засобами. Та визначення такого об’єкту правового захисту в автоматизованих системах є неповним, бо віднісши до нього тільки сукупність усіх даних і програм в автоматизованій системі, не враховано визначення інформації в розумінні Закону України «Про інформацію».

Більше того, в даному випадку не віднесені до об’єкту захисту загальноприйняті та загальновживані технічні і логічні засоби (символи, коди, методи, прийоми та ін.) без яких неможлива обробка інформації в автоматизованих системах. Плутанина та нечітка логіка базових визначень може, хоч і гіпотетично, привести в подальшому шквал позовів про захист інформації або стану власності відносно інформації.

 

Статистична інформація та адміністративна інформація

Законом України «Про інформацію» встановлено, що основними галузями інформації є: політична, економічна, духовна, науково-технічна, соціальна, екологічна, міжнародна (ст. 17), а основними видами інформації є: статистична інформація, адміністративна інформація (дані), масова інформація, інформація про діяльність державних органів влади та органів місцевого і регіонального самоврядування, правова інформація, інформація про особу, інформація довідково-енциклопедичного характеру, соціологічна інформація (ст. 18).

Функціонування зазначених систем інформації регламентується відповідними законами та іншими нормативним актами в цій сфері.

Дискусійним є питання щодо виділення як окремих видів інформації статистичної інформації та адміністративної інформації (дані) (статті 19, 19-1 Закону України «Про інформацію»). Закон дає майже ідентичні визначення обох понять. При цьому в визначенні адміністративної інформації поняття «документована державна інформація», яке міститься в першому, замінено на поняття «документовані дані». Виникають питання:

·         по-перше чи потрібно під поняттям «документована державна інформація» розуміти інформацію зібрану державою (її органами) і, яка належить їй на праві власності, тобто в розумінні ст. 21 Закону де йдеться про інформацію державних органів та органів місцевого і регіонального самоврядування?

·         по-друге, як слід розуміти поняття «документовані дані», враховуючи розглянуте нами вище законодавче визначення самого поняття «дані»?

Крім того, вочевидь, що при розробленні положень про зазначені види інформації за основу їх розмежування бралися спосіб їх створення (одержання, використання, зберігання) та поширення. Або, за законом України «Про державну статистику», адміністративна інформація відрізняється від статистичної лише суб’єктами, які її збирають, використовують та ін., але діяльність таких суб’єктів не регламентована Законом чи окремим нормативним актом.

 

Комп’ютерна інформація

Найбільш поширеним засобом представлення інформації є обробка інформації в комп’ютерах чи комп’ютерних системах. Тому поряд з термінами «інформація» та «дані» в законодавстві України використовуються такі терміни, як «комп’ютерна інформація» та «інформація в автоматизованих системах».

Але Законом України «Про інформацію» в переліку видів інформації, визначеного ст.8 цього Закону, комп’ютерна інформація не згадується. Поняття «комп’ютерна інформація» не включене до деяких нормативних актів, де її присутність як предмета захисту, мала б бути обов’язковою. Так, у статті 1 Закону України «Про науково-технічну інформацію» поняття «комп’ютерна інформація», «інформація в автоматизованих системах», «інформація в комп’ютерних системах» не наведені.

 

Інші терміни

Стаття 1 Закону України «Про авторське право і суміжні права» визначаються такі поняття як «база даних» (абз. 3) та «комп’ютерна програма» (абз. 14), які є різновидами комп’ютерної інформації. Тут також, як і для інших термінів, що зазначено вище, визначення термінів на законодавчому рівні або відсутні, або не співпадають.

Можна все далі і далі «поглиблювати» перелік розходжень, вдаючись до тлумачень термінів «база даних», «вихідний код», «об'єктний код» (які не співпадають  з термінами «об'єктний код» та «початковий код», визначеними в ЄC), і так далі.

 

Та найбільше хвилювання завдає ситуація з законодавчим забезпеченням не відкритої «всім вітрам» інформації, а тієї, доступ до якої обмежений з якихось причин. Саме  інформація з обмеженим доступом є найбільш вразливою та чутливою до регулювання її використання, оскільки незаконне ознайомлення, втрата, викривлення з нею призводить на найбільших втрат у будь-якому розумінні – фінансових, психологічних,  міжособових, комерційних, державних т.ін.

Розглянемо стан справ в цій сфері.

 

Режим та порядок доступу до інформації

 

Інформація з обмеженим доступом

За режимом доступу Закон України «Про інформацію» поділяє інформацію на відкриту інформацію та інформацію з обмеженим доступом (ст. 28). Інформація з обмеженим доступом за своїм правовим режимом поділяється на конфіденційну та таємну (ст. 30). Визначення термінів наведено в табл.3.

 

Таблиця 3

Закону України «Про інформацію»

Визначення Термінів

відкрита інформація

Визначення терміну відсутнє, але аналізуючи статтю 29 Закону (Доступ до відкритої інформації) можна зробити висновок, що це інформація, обмеження права на одержання якої забороняється законом.

інформація з обмеженим доступом

 

Чітке визначення відсутнє, але аналізуючи статтю 30 Закону можна зробити висновок, що це є інформація, право доступу до якої обмежено.

таємна інформація

(ч. 7 ст.30)

До таємної інформації належить інформація, що містить відомості, які становлять державну та іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству і державі

конфіденційна інформація

(ч.2 ст.30)

Конфіденційна інформація - це відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних чи юридичних осіб і поширюються за їх бажанням відповідно до передбачених ними умов.

Стосовно інформації, що є власністю держави і знаходиться в користуванні органів державної влади  чи органів місцевого самоврядування, підприємств,  установ та організацій усіх форм власності, з метою її збереження може бути відповідно до закону встановлено обмежений доступ - надано статус  конфіденційної.

 

Статус таємної інформації встановлюється відповідно до Закону України «Про державну таємницю», в якому визначається, які саме відомості являють собою державну таємницю і щодо яких застосовуються певні правила доступу (грифи секретності). Очевидно, ці правила поширюються на таємну інформацію зафіксовану на будь-яких носіях.

Закон про державну таємницю містить детальний перелік сфер, де може допускатись засекречення інформації, до нього також виданий детальний перелік („Звід відомостей, що становлять державну таємницю”).

 

Державний стандарт України ДСТУ 3396.2-97 дає такі визначення термінів (табл.4):

 

Таблиця 4

Термін

Визначення

інформація з обмеженим доступом

(limited access information)

інформація, право доступу до якої обмежено встановленими правовими нормами і (чи) правилами

Таємна інформація

(secret information)

інформація з обмеженим доступом, яка містить відомості, що становлять державну або іншу передбачену законом таємницю

конфіденційна інформація (confidential information)

інформація з обмеженим доступом, якою володіють, користуються чи розпоряджаються окремі фізичні чи юридичні особи або держава і порядок доступу до якої встановлюється ними.

 

Тобто, як видно з приведених визначень, інформація визнається конфіденційною тому, що вона перебуває у виключному володінні, користуванні чи розпорядженні фізичної чи юридичної особи або держави. Частина 4 статті 30 встановлює обмеження - визначає, яка інформація не може бути віднесена до категорії «конфіденційна інформація».

 

Закон надає право власнику чи розпоряднику такої інформації самостійно визначати режим доступу до неї, включаючи належність її до конфіденційної, та встановлювати для неї систему (способи) захисту, якщо вона одержана за наступних умов (частина 5 ст. 30):

·         це інформація професійного, ділового, виробничого, банківського, комерційного та іншого характеру;

·         вона одержана на власні кошти або є предметом професійного, ділового, виробничого, банківського, комерційного та іншого інтересу особи;

·         інформація не порушує встановленої законом таємниці.

 

Слід вказати на виключення із права визначати режим доступу до інформації, передбаченого частиною 6 ст.30 Закону України «Про інформацію». Так відповідно до цієї частини 6, власники чи володільці інформації не можуть самостійно визначати режим доступу до інформації:

·         комерційного характеру,

·         банківського характеру,

·         правовий режим якої встановлено Верховною Радою України за поданням Кабінету Міністрів України (з питань статистики, екології, банківських операцій, податків тощо),

·         приховування якої являє загрозу  життю  і  здоров'ю людей.

Тут з останніми двома категоріями інформації все зрозуміло. Але положення відносно перших двох категорій прямо протирічить частині 5 ст.30, де чітко визначено «громадяни, юридичні особи, які володіють інформацією … банківського, комерційного, …характеру … самостійно визначають режим доступу до неї … та встановлюють для неї систему (способи) захисту».

 

Конфіденційна інформація, яка є власністю держави

Звернемо увагу, що Закон (разом із іншими нормативними документами) називає державу поряд з фізичними або юридичними особами власником інформації у зв’язку з правами придбання власності. В інших законодавчих актах України використовується термін «конфіденційна інформація, яка є власністю держави». Аналізуючи цей термін, його можна розуміти як «інтелектуальна власність» держави:

·         держава маже мати власність на авторські права відповідно до Закону України «Про власність» та Закону України «Про науково-технічну інформацію»;

·         стаття 38 Закону України «Про інформацію» передбачає власність держави, якщо інформація створена на кошти державного бюджету.

Але Закон України «Про інформацію» не згадує державу як власника конфіденційної інформації.

 

Підкреслимо, що в основі європейського розуміння захисту даних не лежить підхід до інформації як до власності. У країнах Європи межами доступу до інформації, котра знаходиться у розпорядженні держави, є:

·         інформація/дані про особу (особисті/персональні відомості/дані) і особисті стосунки;

·         захищені відомості економічного (господарського) характеру;

·         забезпечення функціонування виконавчої і судової влади;

·         державна таємниця.

Захист всього комплексу державної діяльності від ознайомлення не передбачається. Навпаки, для забезпечення основних прав і свобод необхідна постійна підтримка і реалізація сфери, в якій відбувається реалізація цих прав і свобод, та обмеження державної сфери.

 

Доступ до інформації

Для визначення порядку використання інформації найважливішим є визначення правил організації доступу. Тут ситуація чи не гірша.

Державний стандарт України ДСТУ 3396.2-97 дає таке визначення: «доступ до інформації (access to information) - можливість одержання, оброблення інформації, її блокування та (чи) порушення цілісності». В цьому визначенні використовується термін «оброблення інформації». Розглянемо значення цього терміну (табл.5).

 

Таблиця 5

п/п

Законодавчий акт

Визначення терміну

«обробка»

1.        

Закон України «Про захист інформації в автоматизованих системах» , (стаття 1)

обробка  інформації  -  вся  сукупність  операцій  (збирання, введення,  записування,  перетворення,  зчитування, зберігання, знищення, реєстрація), що здійснюються за допомогою технічних і програмних засобів, включаючи обмін по каналах передачі даних.

2.        

Директива 95/46/ЄС про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних, (стаття 2)

«обробка персональних даних» («обробка») означає будь-яку операцію чи сукупність операцій, здійснюваних з персональними даними (за допомогою чи без допомоги автоматизованих засобів), таких як збір, реєстрація, організація, зберігання, адаптація чи зміна, пошук, консультація, використання, розкриття за допомогою передачі, поширення чи іншого надання, упорядкування чи комбінування, блокування, стирання чи знищення;

 

Отже, термін «обробка інформації» є більш обмеженим, ніж термін «обробка персональних даних» у законодавстві ЄС. Як видно, в Директиві ЄС добавлено такі операції, як «пошук, консультація, використання, розкриття за допомогою передачі, поширення чи іншого надання, упорядкування чи комбінування, блокування».

 

Стаття 6 Законі України «Про захист інформації в автоматизованих системах» визначає доступ до інформації так:

«Доступ до інформації, яка зберігається, обробляється і передається в АС,  здійснюється лише згідно з правилами розмежування доступу, встановленими власником  інформації чи уповноваженою ним особою.

Без дозволу власника доступ до інформації, яка обробляється в АС, здійснюється  лише у випадках, передбачених чинним законодавством.»

При цьому в Законі не дано визначення терміну «доступ», а тільки визначено термін «обробка» інформації. В цьому випадку мабуть малось на меті, що у випадках, які передбачені законодавством, правоохоронні органи мають право: 1. отримати примусовим шляхом інформацію з автоматизованої системи, яка її обробляла, аж до вилучення засобів обробки інформації, при необхідності, чи 2. застосувати засоби перехоплення інформації в каналах зв’язку за рішенням суду. При отриманні інформації згідно з п.1 власнику інформації доводиться до відома: яка потрібна інформація, для яких цілей, ким це санкціоновано, у відповідності до яких норм (карна справа, рішення суду та інші випадки, визначені законодавством). Як наприклад, це подано в ст.62 Закону України “Про банки і банківську діяльність”, де чітко виписані правила та рамки надання інформації, при яких дозволу власника на надання інформації не вимагається. Такий підхід відповідає і тим мінімальним вимогам, що формулюються щодо примусового надання особистої інформації міжнародною спільнотою, зокрема Європейським Союзом. Застосування засобів перехоплення, згідно Європейських вимог, вимагає обов’язкового подальшого повідомлення власника інформації про факт негласного “прослуховування”.

Та, згідно наведеного визначення ДСТУ «доступу», без дозволу власника можна, відповідно до Закону, здійснювати оброблення, у тому числі: введення, записування, перетворення, знищення інформації, блокування, порушення цілісності?! Очевидно, що мова повинна йди лише про доступ з обмеженням прав, а саме: лише про зчитування, перехоплення, і це може здійснюватися лише у випадках, передбачених чинним законодавством.

 

Мабуть для ліквідації деякої невизначеності з «Доступом» підготовлений та вже пройшов друге читання законопроект на заміну діючому Закону «Про захист інформації в автоматизованих системах», який називається «Про захист інформації в інформаційно-телекоммунікаційних системах» (аналіз якого наведений нижче), де вже вказана хиба щодо доступу - «поглиблена», бо в ньому згідно визначення самої інформації явно дозволяється без відома власника вже доступ в Систему, тобто до будь-якої інформації, яка в ній оброблюється. В цьому випадку навіть неможливо проконтролювати – чи був взагалі доступ, чи законний він (за правилами, встановленими власником системи), чи цілісна інформація в системі, загалом – чи можливий неконтрольований витік інформації або її знищення.

Дійсно хочеться тут повторити висновок д-ра Бернарда Шлоера (експерт програми ТАСІС) відносно оцінки деяких законодавчих актів України: «Законодавство про інформацію має ознаки того, що межі його ясного і зрозумілого сприйняття ось-ось залишаться позаду».

 

Інформація про особу / персональні дані

Суперечливим є також правовий статус такого виду інформації, як інформація про особу, тобто «..сукупність документованих або публічно оголошених відомостей про особу» (ст. 23 Закону України «Про інформацію»).

При цьому тією ж статтею визначаються, і тим самим обмежуються, джерела документованої інформації про особу – це видані на її ім'я документи, підписані нею документи, а також відомості про особу, зібрані державними органами влади та органами місцевого і регіонального самоврядування в межах своїх повноважень.

Згідно з Рішенням Конституційного суду України від 30.10.1997 року (справа К.Г. Устименко) «частину четверту статті 23 Закону України «Про інформацію» треба розуміти так, що забороняється не лише збирання, а й зберігання, використання та поширення конфіденційної інформації про особу без її попередньої згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту, прав та свобод людини. До конфіденційної інформації, зокрема, належать дані про особу (освіта, сімейний стан, релігійність, стан здоров’я, дата і місце народження, майновий стан та інші персональні дані).

Тож як розуміти положення частини 5 ст. 31 Закону України «Про інформацію» де зазначено, що «всі організації, які збирають інформацію про громадян, повинні до початку роботи з нею здійснити у встановленому Кабінетом Міністрів України порядку державну реєстрацію відповідних баз даних»? Адже будь-яке підприємство, яке збирає інформацію про прийнятих на роботу працівників (паспортні дані, ідентифікаційні коди тощо) зобов’язане зареєструвати свою базу даних, інакше воно прямо порушує вимоги зазначеного Закону.

Крім того, незрозуміло, як реалізувати права особи на ознайомлення з інформацією, зібраною про неї, з врахуванням роз’яснень вказаного Рішення та законодавчої бази.

 

Не менш важливим є дотримання загальноприйнятих норм, наприклад ЄС, відносно інформації персонального характеру. Наведемо для порівняння термінів (табл.6).

 

Таблиця 6

п/п

Законодавчий акт

Визначення терміну

«персональні   дані»

1.        

Директива 95/46/ЄС про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних, (ст 2)

Та Постанова ЄвроПарламенту та Ради від 18.12.2000 р. №45/2001

«персональні дані» означають будь-яку інформацію, що стосується встановленої фізичної особи чи фізичної особи, яку можна встановити (“суб`єкт даних”); особою, яку можна встановити, є така, яка може бути встановленою прямо чи непрямо, зокрема, за допомогою ідентифікаційного коду або одного чи більше факторів, притаманних фізичним, фізіологічним, розумовим, економічним, культурним чи соціальним аспектам її особистості;

2.        

Закон України «Про інформацію», (стаття 23)

Інформація про особу – це сукупність документованих або публічно оголошених відомостей про особу.

Основними  даними  про  особу  (персональними   даними)    є: національність, освіта, сімейний стан, релігійність, стан здоров'я, а також адреса, дата і місце народження.

 

Як бачимо, термін Закону України «Про інформацію» суттєво відрізняється від терміну «персональні дані» у визначенні ЄС: Закон України «Про інформацію» враховує лише «документовані або публічно оголошені відомості про особу», в той час як визначення ЄС до персональних даних відносить «будь-яку інформацію, що стосується встановленої фізичної особи чи фізичної особи, яку можна встановити», причому можна встановити прямо чи непрямо.

 

Аналогічна заплутана ситуація має місце з:

·         «інформаційними ресурсами»: Закон України «Про інформацію» - основою інформаційного суверенітету України є національні інформаційні ресурси (існує 5 різних визначень),

·         захистом прав і свобод громадян - Закон України «Про основи національної безпеки України»  (права і свободи людей і громадян віднесені до об'єктів національної безпеки (ст. 3)).

·         безпеки та захисту персональних даних, де за відсутністю закодавства України, доречно керуватися законодавством ЄС (Директиви ЄС 95/46/ЄС, 96/9/ЄC, 97/66/ЄC, 2002/58/ЄC, Постановою ЄвроПарламенту 2000 р. №45/2001)

 

Правові питання використання криптографії

 

Ми вже давно наголошуємо про нагальну необхідність звернути увагу на невідповідність в Україні діючих законів, підзаконних нормативних актів, відсутність відповідних технічних стандартів не тільки Європейськім нормам, але й діючому законодавству України. Про нашу позицію свідчать публікації в пресі («Иллюзия работоспособности», «Бізнес», №28 від 14.07.2003, «Проект «Пандора», «Галицькі Контракти», №7 від 16.02.2004, «Ризикована привабливість», «Галицькі Контракти», №14 від 5.04.2004), та виступ у Верховній Раді України (Громадське обговорення стану та перспектив розвитку ІКТ в Україні 9 квітня 2004р.).

Наявні закони та законопроекти, підзаконні акти СБУ суперечать навіть діючому законодавству України, не кажучи вже про Європейське, хоча деякі розробники твердять про повну відповідність новітніх законів саме вимогам ЄС.

Наведемо деякі приклади.

 

Електронний підпис

Звернемось до Закону України «Про електронний цифровий підпис» та порівняємо його з законодавством ЄС (Директива 1999/93/ЄС та Рішення Комісії 2000/709/ЄС). Цей закон (разом із Законом України «Про електронний документообіг») розроблялися біля 3 років, коли вже існували і Модельний закон ООН (2001 р.) про електронні підписи і законодавчі акти ЄС, які повинні були бути враховані.

 

Розходження починаються із визначення самого предмету електронного підпису – вони зовсім різні. Розходження пов'язані з призначенням підпису: в Законі України - це ідентифікація автора; в Директиві ЄС – посвідчення достовірності даних (автентифікація), що включає і ідентифікацію автора, і достовірність/цілісність самих підписаних даних (їх незмінність після накладення підпису). Таким чином, електронний підпис в Україні є більш «слабким», ніж в ЄС.

 

Вкажемо на системні відмінності електронного підпису від власноручного.

Таблиця 7

Електронний підпис

Власноручний підпис

Завжди пов’язаний з даними, які він підписує. Як такого зразку підпису не існує. „Пустий” бланк/документ для електронного підпису – це також ж дані (нулі або символи пропуску).

Можна підписати „пустий” бланк. В цьому розумінні підпис не пов’язаний з даними/документом, які підписано. Можна надати зразок підпису для подальшої його перевірки на відповідність в різних документах.

Підпис завжди залежить від: даних, методу (алгоритму) та ключа підпису. При цьому підпис надійно захищає підписані дані від змінення.

Підпис не залежить від даних (документу). Дані/документ, які підписані, можуть бути змінені.

Основне призначення підпису – захистити підписані дані від змінення. Підпис дозволяє ідентифікувати особу, яка підписала (встановити авторство), тільки в тому випадку, якщо ключ електронного підпису належить виключно цій особі. Якщо ж ключ підпису з будь-яких причин попаде в руки сторонній особі, то вона може створити такий же достовірний підпис, як і власник.

Основне призначення підпису – ідентифікувати особу, яка підписала документ. Підпис не може захистити документ від змінення.

Підпис завжди можна повторити, при цьому він завжди для тих же даних, методу/алгоритму та ключа створення підпису на 100% співпадає з попереднім.

Зауваження. В поле даних, які підписуються може включатись (як додаткові, не обов’язкові дані) дата та час створення підпису. В цьому випадку повторити підпис можна, повторивши ті ж значення дати, часу.

Єдиного міжнародного стандарту щодо формату підпису (як для формату сертифіката ключа) на сьогодні не має (та є національні стандарти – Німеччини)

Рукописний підпис із 100% співпаданням практично не можна повторити. Експерти можуть встановити автентичність підпису з імовірністю, яка, як правило, менше 100%. Підпис особи залежить від багатьох факторів, в тому числі змінюється з віком людини.

Підробити підпис можна лише оволодівши ключем підпису (викрасти, скопіювати, підібрати, тощо ключ створення підпису).

Підробити підпис може інша людина, яка має відповідні здібності. Крім того, може бути виготовлене кліше підпису.

 

Порівняльна таблиці розходжень у визначеннях термінів (вказані курсивом, якщо визначення відсутнє - графа порожня; коментарі наведені там де вони необхідні):

Таблиця 8

Закон України

Директива ЄС

електронний підпис - дані в електронній формі, які додаються до інших електронних даних або логічно з ними пов'язані та призначені для ідентифікації підписувача цих даних;

електронний підпис - дані, поданні в електронній формі, які додаються або логічно об’єднуються з іншими електронними даними та які служать в якості метода засвідчення  достовірності

Якщо взяти за основу визначення, яке надано в Законі України, то електронний підпис призначений лише для ідентифікації підписувача, при цьому така базова функція електронного підпису, як контроль цілісності підписаних даних, випадає із означення. При такому визначенні електронний підпис не є електронним підписом взагалі.

електронний цифровий підпис - вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача.

Термін відсутній!

 

За змістом електронний цифровий підпис – це дещо обмежений  електронний підпис Директиви ЄС. Обмежується тим, що він отримується за результатом криптографічного перетворення.

Термін відсутній!

удосконалений електронний підпис означає електронний підпис, який відповідає наступним вимогам:

(а) він пов’язаний винятково з особою, що підписалась;

 (b) він дає можливість ідентифікувати особу, що підписалась;

(с) він створений за допомогою засобів, які особа, що підписалась, може тримати під своїм повним контролем; і

(d) він пов’язаний з даними, до яких він відноситься у такий спосіб, що будь-яку подальшу зміну даних можна виявити;

засіб електронного цифрового підпису - програмний засіб, програмно-апаратний або апаратний пристрій, призначені для генерації ключів, накладення та/або перевірки електронного цифрового підпису;

механізм створення підпису - означає пристосоване програмне чи апаратне забезпечення, яке використовується для створення даних, що створюють підпис;

механізм перевірки підпису - означає пристосоване програмне чи апаратне забезпечення, яке використовується для введення в дію даних для перевірки підпису;

особистий ключ - параметр криптографічного алгоритму формування електронного цифрового підпису, доступний тільки підписувачу

дані, що створюють підпис означає виняткові дані, такі як коди чи приватні криптографічні ключі, які використовуються особою, що підписалась, для створення електронного підпису

відкритий ключ - параметр криптографічного алгоритму перевірки електронного цифрового підпису, доступний суб'єктам відносин у сфері використання електронного цифрового підпису;

дані для перевірки підпису- означає дані, такі як коди чи відкриті криптографічні ключі, які використовуються з метою перевірки електронного підпису

сертифікат відкритого ключа (далі - сертифікат ключа) – документ, виданий центром сертифікації ключів, який засвідчує чинність і належність відкритого ключа підписувачу.

сертифікат - означає електронну атестацію, яка пов’язує дані для перевірки підпису з особою і підтверджують ідентичність цієї особи.

засвідчення чинності відкритого ключа – процедура формування сертифіката відкритого ключа

Термін відсутній!

посилений сертифікат відкритого ключа (далі - посилений сертифікат ключа) - сертифікат ключа, який відповідає вимогам цього Закону, виданий акредитованим центром сертифікації ключів, засвідчувальним центром, центральним засвідчувальним органом.

Термін відсутній!

надійний засіб електронного цифрового підпису – засіб електронного цифрового підпису, що має сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації.

 

Коментар:

Визначення, наведене в Законі України не вимагає виконання вимог (а), (с) Директиви ЄС для посиленого електронного підпису. Крім того, визначення Закону дозволяє довільну трактовку «надійності».

безпечний механізм створення підпису - означає механізм створення підпису, який відповідає вимогам, викладеним у Додатку ІІІ:

а) дані, які використовуються для вироблення підпису, можуть виникнути на практиці лише один раз, а їх секретність забезпечується;

b) дані, які використовуються для вироблення підпису, із значною долею впевненості не можуть вилучатися з цих механізмів, а підпис захищається від підробки за допомогою використання доступних технологій;

с) дані, що створюють підпис, які використовуються для вироблення підпису, можуть бути надійно захищені законною особою, що підписалась від використання його іншими особами.

Термін відсутній!

термін "кваліфікований сертифікат" означає сертифікат, який відповідає вимогам, викладеним у Додатку І (вимоги до кваліфікованих сертифікатів), і видається постачальником послуг по сертифікації, який виконує вимоги, викладені у Додатку ІІ (Вимоги до постачальників послуг по сертифікації, що видають кваліфіковані сертифікати);

 

Порівнявши визначення в таблиці, можна стверджувати, що:

 

1.                 «Електронний підпис» Закону України та в ЄС не співпадають та різні за суттю. Визначення в Законі України звужує визначення, прийняте в Директиві ЄС.

2.                  Термін „електронний цифровий підпис” Закону України – це обмежений термін „електронний підпис” Директиви ЄС.

3.                 Термін „вдосконалений електронний підпис” в Законі України відсутній, хоча саме такий електронний підпис може визнаватись еквівалентом власноручного підпису.

4.                 Термін «безпечний механізм створення підпису» Директиви ЄС не відповідає терміну «надійний засіб електронного цифрового підпису» Закону України.

 

Результатом такої невідповідності базових термінів є ще більш істотна розбіжність у визначенні правового статусу ЕЦП або електронного підпису, як еквівалента рукописного (власноручної) підпису та пов'язаного з цим поняття «надійності» підпису.

 

В Директиві ЄС вводиться термін «вдосконалений електронний підпис», який признається еквівалентом рукописної і який відсутній в Законі України. Термін ЕЦП Закону України є більш слабким визначенням, ніж термін «вдосконалений електронний підпис», оскільки в ньому відсутня така ключова вимога, як можливість (стаття 2, п.2 (з) Директиви ЄС) автора підпису тримати «під своїм повним контролем» засіб створення підпису (ключ підпису).

 

Зведемо визначення електронного підпису еквівалентним власноручному:

Табл.9

Закон України

Директива ЕС

1. Електронний цифровий підпис

створені за допомогою … вдосконалених електронних підписів, і

2. підтверджений з використанням чинного посиленого сертифікату (на момент створення ЕЦП)

засновані на кваліфікованих сертифікатах,

3. підпис створений за допомогою надійних засобів ЕЦП

створені за допомогою безпечних механізмів створення підпису

4. особистий ключ підписувача відповідає відкритому, зазначеному у сертифікаті.

Коментар:

Відповідно до Статті 6 (Відповідальність) Директиви ЄС така перевірка (що особистий ключ відповідає відкритому, завіреному сертифікатом) є відповідальністю центру сертифікації на етапі видачі сертифікату.  Згадка в Законі про необхідність такої перевірки в контексті  юридичного статусу підпису лише приводить до запитань – хто відповідає за таку перевірку?, чи необхідно здійснювати перевірки для кожного сформованого підпису? тощо.

Якщо звернутися до базових визначень термінів, то стає зрозуміло, що ЕЦП та  електронний підпис не співпадають в Законі України та Директиві ЄС в жодному пункті:

По-перше: Як сказано вище, термін ЕЦП Закону України не відповідає терміну вдосконалений електронний підпис Директиви ЄС і є більш слабким.

По-друге: термін «посилений сертифікат» не відповідає терміну «кваліфікований сертифікат». На додаток, відповідно до Закону України посилений сертифікат ключа може бути створений тільки акредитованим в Україні центром сертифікації. В термінах Директиви ЄС немає поняття посиленого сертифікату ключа, навпаки, Директива ЄС вимагає добровільності акредитації. 

По-третє, термін «надійний засіб ЕЦП» Закону не відповідає терміну «безпечний механізм створення підпису» Директиви ЄС. Згідно із Законом надійним засобом ЕЦП є тільки такий, який має сертифікат відповідності або позитивний експертний висновок за наслідками державної експертизи (сьогодні це в СБУ). Сертифікат відповідності в Україні можна одержати для реалізацій державних стандартів, а що таке «позитивний висновок», і які критерії для сертифікатів, виданими в інших державах для інших стандартів електронного підпису, наприклад, ЄС – невідомо. У Додатку 3 Директиви ЄС сформульовані вимоги до надійних/безпечних механізмів створення електронного підпису, які ніяк не співвідносяться з сертифікатом відповідності або «позитивним висновком» Закону України.  Таким чином, законодавчо термін надійності/безпеки засобів створення підпису в Україні і ЄС розуміється по-різному.

 

Таким чином, бачимо, що базові терміни Закону України не відповідають  термінам Директиви ЄС, та немає загальних критеріїв і відповідності у визнанні електронного підпису еквівалентом рукописного підпису між Законом України і Директивою ЄС.

 

Друга частина розходжень пов’язана із терміном “сертифікат відкритого ключа", який використовується для засвідчення автентичності підписувача і документа, та цілісності самого документа.

У Законі України і в Директиві ЄС визначені обов'язкові елементи/реквізити сертифікату ключа, який покликаний засвідчити автентичність автора електронного підпису:

 

Таблиця 10

Закон України

Директива ЕС

 

вказівку на те, що сертифікат виданий в якості чинного сертифікату

найменування та реквізити центру сертифікації ключів

ідентифікацію постачальника послуг по сертифікації та держави, в якій засноване його підприємство

зазначення, що сертифікат виданий в Україні;

унікальний реєстраційний номер сертифіката ключа;

ідентифікаційний код сертифікату

основні дані (реквізити) підписувача - власника особистого ключа

ім’я особи, що підписалась, чи її псевдонім, який ідентифікується, як такий

забезпечення особливої ознаки особи, що підписалась, яка включається, залежно від мети, на яку орієнтований сертифікат

дату і час початку та закінчення строку чинності сертифіката;

вказівка на початок та закінчення терміну чинності сертифікату

відкритий ключ;

дані для перевірки підпису, які відповідають даним, що створюють підпис, під контролем особи, що підписалась

найменування криптографічного алгоритму, що використовується власником особистого ключа

 

 

вдосконалений електронний підпис постачальника послуг по сертифікації

інформацію про обмеження використання підпису

обмеження сфери використання сертифікату, якщо таке застосовується

обмеження вартості операцій, при здійсненні яких може використовуватись сертифікат, якщо такі застосовуються.

 

Головна відмінність  - обов'язковим елементом сертифікату згідно Директиві ЄС є підпис центру сертифікації, а відповідно до ст.6 Закону України такий підпис в обов'язкових елементах сертифікату відсутній. Більш того, визначення сертифікату в Законі України (стаття 1) як «документа» в електронному вигляді, суперечить визначенню «електронний документ» Закону «Про електронний документообіг» (ст. 6), який повинен обов'язково мати електронний підпис.

 

Також є багато зауважень щодо функцій та вимог до діяльності регулюючих органів, визначених в Законі “Про ЕЦП”, більшість з яких не відповідає вимогам, сформульованим в Директивах ЄС.

Крім того, Законом “Про ЕЦП” затверджена норма, що “послуги з ЕЦП не підлягають ліцензуванню”, що необхідно для забезпечення вільного використання засобів застосування електронного чи електронного цифрового підпису в Україні, а також для того щоб не зруйнувати діючі системи взаємодії з клієнтами банківської системи України. На наш погляд, ця вимога явно недостатня, оскільки функція надання послуг є лише управлінською функцією, яка відноситься до центрів сертифікації, та не зачіпає громадськості, тобто клієнтського середовища. Це тому, що згідно з Законом України “Про ліцензування певних видів господарської діяльності” № 1775-III від 1.06.2000 р., під обов’язкове ліцензування підпадає використання засобів накладання та перевірки ЕЦП, яке в першу чергу необхідне окремим фізичним та юридичним особам для участі в електронному документообігу. Прийняті підзаконні акти для забезпечення вказаної норми практично не виправили ситуацію, про що буде мова нижче.

 

Звичайно, недоліки Закону «Про ЕЦП» відобразилися в Законі України «Про електронні документи та електронний документообіг».

Згідно з визначенням терміну «електронний документ» (Розділ II., стаття 6) „електронний підпис є обов'язковим реквізитом ...”. При цьому Законом регулюються лише відносини, пов'язані з використанням ЕЦП (абз.3 статті 6 Закону), а „використання інших видів електронних підписів ... здійснюється на договірних основах” (абз.4, стаття 6). Проте така сфера економіки, як електронна комерція, не передбачає яких-небудь договірних основ між продавцем (електронним магазином) і покупцем. Отже, маємо що, принаймні, у сфері електронної комерції цей Закон не діє, або ж електронна комерція в Україні повинна обмежуватися виключно ЕЦП, яка невідома в межах ЄС.

 

Реалізація електронного підпису вимагає значних інвестицій, а тому хибність положень Закону може призвести до неефективного витрачання коштів. Реалізація та розвиток інфраструктури за цим Законом призведе до побудови окремої „хати” електронного документообігу та підпису, яка стоїть осторонь від Європейської та міжнародної спільноти. Очевидно, що через певний час все одно доведеться ламати „стіну”, але витративши чималі ресурси спочатку на підтримку недієздатного закону, а потім на провадження кардинальних змін багатьох законів та підзаконних актів, наведенні ладу в галузі, яка зачіпає економіку та бізнес в Україні.

Співробітники компанії «НВФ «ВКП-консалтинг» є авторами законопроекту «Про електронну торгівлю», зареєстрованого у ВР України під № 3114 від 17.02.2003, який містить принципи і правила, необхідні для застосування електронного документообігу в електронній торгівлі. Законопроект відповідає законодавству ЄС (відповідним Директивам ЄС).

 

Підзаконні акти з питань використання криптографії

Недоліки в підходах до захисту інформації, зазначені вище щодо Законів України, були відповідно “розвинуті” в підзаконних актах, що роз’яснюють принципи та правила застосування норм Законів України.

 

Зокрема, “Положення про порядок розроблення, виготовлення та експлуатації засобів криптографічного захисту конфіденційної інформації” № 53 (п.1.2) ДСТСЗІ СБУ від 1999 року встановлює жорсткі вимоги щодо організації доступу та застосування засобів захисту для конфіденційної інформації, яка не є власністю держави, тим самим відміняючи норму Закону України «Про інформацію» (ст. 30), що для такої інформації її власники самостійно визначають як режим доступу, так і засоби захисту.

На заміну цьому Положенню, в 2004 році було прийнято “Положення про порядок розроблення, виготовлення та експлуатації засобів криптографічного захисту конфіденційної інформації та відкритої інформації з використанням електронного цифрового підпису31 від 30.04.2004р., виконання якого обов’язкове для будь-яких суб’єктів господарювання (п.1.3). Тут знов проігнорована та ж сама норма Закону “Про інформацію”, оскільки згідно з п.4 експлуатуватись в Україні можуть виключно засоби, які мають сертифікат відповідності чи позитивний експертний висновок СБУ.

 

В тому ж Положенні визначено (п.4.5), що передача користувачам засобів КЗІ від суб’єктів господарювання, що здійснюють послуги в галузі криптографічного захисту інформації (КЗІ), які пов'язані з шифруванням конфіденційної інформації, здійснюється без отримання користувачами ліцензій від ДСТСЗІ СБУ.

Порівняємо зміни, які внесені на виконання вимог Закону «Про ЕЦП», до нових редакцій вказаного Положення та «Ліцензійних умов провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання  послуг в галузі криптографічного захисту інформації, торгівлі  криптосистемами  і засобами  криптографічного  захисту  інформації»:

 

Положення про порядок розроблення…

№ 31 від 30.04.2004

Ліцензійні умови… (нова редакція)

№121/80 від 15.10.2004

п.1.2.  визначає вимоги до порядку  розроблення, виробництва та  експлуатації засобів  криптографічного захисту конфіденційної інформації та відкритої інформації з  використанням електронного цифрового підпису

п.1.2. Ліцензійні умови визначають організаційні, кваліфікаційні,   технологічні та інші вимоги до суб'єктів господарювання виробництва, використання, експлуатації, виконання яких є обов'язковою умовою провадження певних робіт .. з використання, експлуатації,... надання послуг в галузі криптографічного захисту інформації – (КЗІ) (крім послуг електронного цифрового підпису)

п.1.4. шифрування - криптографічне  перетворення  даних  відкритого тексту в шифртекст при відомих ключах.

 

(примітка: визначення інше ніж в Ліцензійних умовах і не вказує на електронний цифровий підпис; в Ліцензійних умовах «шифрування інформації», як видно,  включає й електронний цифровий підпис - див. нижче п.2)

п.2. надання послуг в галузі КЗІ - виконання робіт із шифрування інформації, монтажу, наладки,…. Під виконанням робіт із шифрування інформації розуміється забезпечення суб'єктом господарювання криптографічного захисту інформації клієнтів (юридичних або фізичних осіб), що може включати встановлення засобів КЗІ у клієнта, забезпечення їх ключовими документами, обслуговування цих засобів та вжиття заходів щодо забезпечення режиму безпеки;

Визначення співпадає з тим, що є в Ліцензійних умовах

п.2. криптографічний захист інформації - вид захисту, що реалізується за допомогою перетворень інформації з використанням спеціальних даних  (ключових даних), з метою приховування (або відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства тощо;

 

(примітка: виділене підкресленням –предмет шифрування, а курсивом - предмет електронного цифрового підпису)

п.4.5. Суб'єкти господарювання, які надають послуги в галузі КЗІ,  пов'язані з шифруванням конфіденційної інформації, передають засоби КЗІ користувачам цих послуг  без отримання останніми відповідних ліцензій Департаменту.

п.3.1 У разі забезпечення суб'єктом господарювання криптографічного захисту інформації клієнтів (юридичних або фізичних  осіб)  шляхом надання послуг з шифрування, дія цих Ліцензійних умов поширюється на суб'єкт господарювання,…  Клієнти, які отримують послуги з шифрування, ліцензію  на  право здійснення діяльності в галузі КЗІ не одержують.

 

п.4. Роботи, які виконуються у межах господарської діяльності в галузі КЗІ, що підлягає ліцензуванню:

п.4.5. Використання, експлуатація засобів КЗІ та криптосистем.

Висновки

За цими визначеннями ліцензуванню не підлягає (для Клієнтів) використання, експлуатація тільки засобів шифрування, отже ліцензуванню підлягає (?):

- використання, експлуатація засобів електронного цифрового підпису та

- послуги в галузі електронного цифрового підпису

Таким чином, згідно з п.3.1. Клієнти, які отримують послуги з шифрування, ліцензію  на  право здійснення діяльності в галузі КЗІ не одержують, але згідно з п 4.5. ліцензуванню підлягає «використання, експлуатація засобів КЗІ», в тому числі для Клієнтів!?.

Ліцензії видає ДСТСЗІ СБУ.

 

Дуже дивні різночитання у визначеннях документів, які готувалися однією службою.

 

Згідно з п.4.12 цього Положення гриф обмеження доступу до ключів має відповідати грифу обмеження доступу до інформації, що захищається. Але використання ключів електронного підпису повинно більш суворо регламентуватися, ніж сама інформація, яка ними захищається. Більш того, щодо відкритої інформації (яка не шифрується, а тільки засвідчується її приналежність та цілісність, тобто лише підписується) використання таких ключів для захисту інформації стає неможливим, бо збереження конфіденційності особистого ключа в таємниці протирічить цій вимозі – він має бути доступним всім бажаючим!

 

І таких прикладів можна навести багато. Не є виключенням і заново внесені на розгляд законопроекти, наприклад – на заміну Закону України «Про захист інформації в автоматизованих системах» (№2191).

 

Проблеми нових законопроектів

Верховною Радою України прийнято за основу  (від 20.02.03 № 559-ІV) законопроект «Про захист інформації в інформаційно-телекомунікаційних системах» (№2191 від 13.09.2002 р.), запланований на заміну діючому Закону (далі - Проект і Закон) «Про захист інформації в автоматизованих системах» (№ 80/94-ВР).

Одразу звернемося до поставлених перед Проектом задач. Згідно з пояснювальною запискою до Проекту, було дано доручення розробити законопроект з урахуванням рекомендацій Парламентської Асамблеї Ради Європи по протидії міжнародному тероризму, а також визначити механізми проведення моніторингу мережі передачі даних відповідно до положень резолюції Ради Європи ENFOPOL 98, де одна з основних задач – забезпечити законне перехоплення інформації в телекомунікаціях.

 

Головним недоліком Проекту є невідповідність його змісту чинному національному та Європейському законодавству, а також задекларованим задачам, про які сказано вище.

 

Підходи авторів Проекту мають дуже істотні недоліки, і сам Проект не має достатнього обгрунтовування щодо заміни всього діючого Закону. Викликає великі сумніви, що впровадження «комплексної системи захисту» (ст.11,12) обійдеться без істотних фінансових витрат, як це вказано у фінансово-економічному обґрунтуванні.

По-перше, немає потреби змінювати саму назву Закону, тому що за суттю ці системи – однакові. Тобто автоматизована система за визначенням включає телекомунікаційні засоби (зв’язок).

По-друге, визначення термінів в Законі більш широке: визначення „інформаційна система” включає і „телекомунікаційну”, і „інформаційно-телекоммунікаційну” системи, хоча є часткою за визначенням „інформаційно-телекоммунікаційної”. Деякі терміни Проекту некоректні, наприклад, „комплексна система захисту” визначається в статті 1, а потім «уточнюється» в статті 11 («повинна забезпечувати»). В результаті термін „комплексна система захисту” може бути застосований виключно для систем з інформацією, яка є власністю держави або захист якої гарантується державою.

Є серйозні недоліки у ряді визначень („несанкціонований доступ” „захист інформації в системі” „користувач інформації” „витік”), відсутні терміни: „персонал системи”, „порушник”, „порушення роботи системи”. Однією з найважливіших цілей Проекту було врегулювання взаємостосунків між учасниками інформаційних систем, проте цього не відбулося. Не визначені або суперечливі (ст.2 і 3) взаємовідносини (права і відповідальність) більшості суб'єктів правовідносин в цій області - розпорядників інформації і систем з їх власниками, а також з користувачами інформації. Це, зокрема, стосується відносин між власниками і розпорядниками (як систем, так і інформації), а також нового суб'єкта - „уповноваженого центрального органу виконавської влади у сфері криптографічного і технічного захисту інформації”.

 

Та особливу увагу привертає сутність статті 5 Проекту: 

«у випадках, передбачених законодавством України, доступ до інформації в системі може здійснюватися без дозволу її власника». В аналізі діючого Закону вказані два шляхи отримання такого доступу, та за логікою авторів в Проекті посилена сутність саме другої частини щодо “негласного” отримання інформації.

Для повного розуміння цього положення слід розглянути ключові терміни із статті 1 Проекту:

«доступ до інформації в системі – отримання користувачем можливості обробляти інформацію в системі;

обробка інформації в системі – виконання однієї або декількох операцій (збір, введення, запис, перетворення, читання, зберігання, знищення, реєстрація, прийом, отримання, передача і т.ін.), які здійснюються в системі за допомогою технічних і програмних засобів».

Таким чином, доступ до інформації або системи без дозволу її власника – це, згідно з Проектом, можливість виконання будь-якої операції, тобто повний доступ в будь-яку Систему з правами її Адміністратора.

Якщо інформаційна система – це банківська система електронного грошового обігу, то відзначені дії є не що інше, як можливість ввести новий або змінити існуючий та передати платіжний документ (грошові кошти) без дозволу власника системи (банка), що є вже предметом Кримінального Кодексу України.

 

Якщо звернутися до задач Проекту, то видно, що повинно йтися лише про перехоплення в телекомунікаціях (пасивний доступ, тільки на читання, і лише в каналах зв'язку/телекомунікаціях), причому тільки в мережах загального користування і послуг, а не активний доступ (введення, запис, видалення і т.ін). До речі, застосування засобів перехоплення, згідно Європейських вимог, вимагає обов’язкового подальшого повідомлення власника інформації про факт негласного “прослуховування”, але аж ніяк не втручання в роботу самої Системи, бо інакше неможливо встановити ані сам факт порушення роботи систем, або зміну достовірності інформації в них, ані винних у цьому.

 

У статті 6 Проекту визначено, що власник системи повинен надавати „...технічні дані і можливості захисту інформації в системі” користувачам системи - власникам інформації. Але.

Технічні дані захисту інформації – це основа для дій будь-якого хакера. Маючи такі відомості, вірогідність несанкціонованого проникнення в систему збільшується багато разів, особливо враховуючи те, що абсолютно захищених і безпомилкових систем немає.

Це положення може застосовуватися виключно для систем з одним (єдиним) власником інформації і не може для систем з багатьма співвласниками  інформації (термін «співвласники» тут відповідає Директиві 96/9/ЕC від 11.03. 1996 року про правовий захист баз даних, стаття 4. Авторство баз даних, п.3). Враховуючи це, власник системи на вимогу власників інформації повинен надавати тільки дані відносно відповідності стандартам безпеки, а не технічні дані системи захисту.

 

Статтею 6 Проекту визначено, що власник системи встановлює правила і забезпечує захист інформації в системі, проте далі ці права перекреслюються. Статтею 10 Проекту встановлюється, що захист інформації в системі (будь-якої) забезпечується впровадженням комплексної системи захисту інформації, порядок створення і вимоги до якої визначаються уповноваженим центральним органом виконавчої влади у сфері криптографічного і технічного захисту інформації (монополіст і для державної, і для комерційної сфери).

Згідно ж визначення Комплексної системи захисту («Порядок захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах» затверджено Наказом 24 грудня 2001 р. №76 ДСТСЗІ СБУ, наказ Держкомзв’язку N 122 від 17 червня 2002), вона призначена для захисту саме державних інформаційних ресурсів, але вказаною нормою закону стає обов’язковою для будь-яких систем, які обробляють і державну і недержавну інформацію, фактично відміняючи дозвільну норму Закону «Про інформацію» щодо конфіденційної інформації, що не є власністю держави та захист якої власник забезпечує на власний розсуд. То ж чим керуватися – договором з власником інформації чи вимогами уповноваженого органу?

 

На відміну від діючого Закону, в статті 11 Проекту зникло визначення прав власників систем або інформації, які не обробляють державну інформацію, а вказана лише відповідальність за ризики, якщо система не забезпечена комплексною системою захисту. У будь-якому випадку відповідальність за ризики, пов'язані із захистом інформації в системі, несуть власник системи і власник інформації, а тому саме вони повинні визначати і будувати комплексний захист. 

За текстом діючого Закону, статті 11: „...вимоги і правила ... мають рекомендаційний характер для інших суб'єктів права власності на інформацію” (не державних). З яких причин це положення про обов'язковий і рекомендаційний характер зникло в новій редакції закону?

 

З другого боку, якщо система повністю відповідає вимогам уповноваженого центрального органу виконавської влади і забезпечена комплексною системою захисту, то на кого покладається відповідальність у разі нанесення збитків при використанні “сертифікованих” засобів захисту. Особливо, якщо доведено, що збитки викликані саме невідповідної сертификацією/висновком/дозволом або не неякісними вимогами до самого комплексного захисту?  

Чи означає вимога статті 12 про застосування комплексної системи захисту та її обов’язкова сертифікація, що засоби захисту міжнародних платіжних систем, членами яких є банки України, повинні відповідати цим вимогам? Хто повинен отримати „відповідний сертифікат чи експертний висновок або дозвіл на їх використання” – банки чи платіжні системи?

Міжнародні та Європейські організації, що обслуговують платіжні системи (наприклад, карткові системи Europay/Mastercard та VISA) або забезпечують обмін фінансовими документами між учасниками (наприклад,  SWIFT), часто вже мають відповідні міжнародні сертифікати засобів захисту визнаних центрів сертифікації. Не виключено, що вони можуть відмовитись від повторної сертифікації в Україні. Слід було б визнавати надійні міжнародні сертифікати на засоби захисту, закріпивши цей принцип у Законі.

 

Тут доцільно також нагадати постанову КМУ від 15 лютого 2002 р. №185 „Про внесення змін у додаток до Положення про порядок контролю за експортом, імпортом і транзитом окремих видів виробів, обладнання, матеріалів, програмного забезпечення і технологій, що можуть використовуватися для створення озброєння, військової чи спеціальної техніки” щодо виключення обмежень на використання засобів захисту для власної потреби (4.D.3.c.) користувачів комп’ютерної техніки та у банківський сфері (5.A.2 d).

Слід зазначити, що обов'язковість сертифікації, експертних висновків або дозволів на використання засобів захисту суперечить європейському законодавству, зокрема Директивам європейського парламенту і Поради про електронний підпис (1999/93/ЕС від 13 1999 грудня) і електронну комерцію (2000/31/ЕС  від 8 червня 2000 року), а також Директиві 2000/46/ЕС від 18 вересня 2000 р. про відкриття і ведення діяльності установ-емітентів електронних грошей і нагляду за цією діяльністю.

 

У Проекті простежується підхід прямого втручання в роботу будь-яких систем  без урахування їх чутливості до таких дій. Прогноз можливого розвитку ситуації, якщо слідувати Проекту, наведений авторами в статті “Проект “Пандора” (Галицькі контракти, №7 від 16.02.2004 р.).

 

Висновки

 

1. Необхідно проаналізувати законодавство України на використання та правила застосування засад інформаційного законодавства, відповідність нормативних актів нормативним актам Євросоюзу. Створити програму, визначивши першочергові завдання з коригування діючої нормативної бази. Визначити законопроекти, які відповідають Європейському законодавству, та якнайскоріше прийняти їх у Верховній Раді України.

2. Для проведення цієї роботи створити робочу групу з питань інформаційного законодавства, визначити її права та доручити проведення експертизи та координацію робіт в цій галузі. Також необхідно здійснювати координацію робіт з Групою, що займається розробкою та адаптацією технічних стандартів міжнародних організацій в Україні.

Робоча група має включати в першу чергу фахівців з питань інформаційних технологій, інформаційного права, безпеки і захисту інформації, які мають досвід, при чому обов’язковим є участь фахівців, що представляють комерційні організації (асоціацій, підприємств), які добре знайомі з предметною технологічною, технічною, бізнесовою базою обробки та захисту інформації.

Назад


:: Про нас | Продукти | Послуги | Публикації | Аналітика | Контакти |
:: Про групу компаній | Співробітники | Партнери |
©2002- "AMB" group.