Contenu connexe
Similaire à Cryptographic Data Protection in Ukraine: legal issues
Similaire à Cryptographic Data Protection in Ukraine: legal issues (20)
Plus de Axon.Partners (20)
Cryptographic Data Protection in Ukraine: legal issues
- 2. Cryptography is everywhere (1)
Средства КЗИ используются намного чаще, чем мы
предполагаем:
• защита информации на USB-
накопителях и жестких дисках;
• защита от несанкционированного
использования компьютером, PDA,
смартфоном (к примеру, с помощью
пароля или отпечатков пальцев);
• доступ в Интернет с помощью
защищенной связи (https);
• создание защищенного соединения
с помощью VPN;
• электронная цифровая подпись и
пр.
2 Правовое регулирование использования средств КЗИ в Украине © 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш»
- 3. Cryptography is everywhere (2)
Это только некоторые продукты,
в которых реализованы
средства КЗИ:
• Браузеры MS Internet Explorer,
Mozilla, Opera;
• Почтовые клиенты (напр. MS
Outlook);
• Средства защиты файлов на диске
TrueCrypt and Safeguard;
• Средство электронной цифровой
подписи PGP;
• VPN-клиент, встроенные в такие
операционные системы, как
Windows XP/Vista или Mac OS X, и
пр.
3 Правовое регулирование использования средств КЗИ в Украине © 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш»
- 4. Регулирование использования средств КЗИ в мире
В зависимости от национальных интересов разные
страны по разному регулируют использование средств
КЗИ:
• Многие страны устанавливают ограничения на использование средств
КЗИ внутри страны.
• Некоторые страны запрещают ввозить в страну средства КЗИ, не
ограничивая их использование внутри страны.
• Государственные органы некоторых стран могут требовать
предоставления доступа к средствам, в которых используется КЗИ: к
ноутбукам, КПК и пр.
4 Правовое регулирование использования средств КЗИ в Украине © 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш»
- 5. Три основных подхода к регулирования КЗИ в мире
• Польша - есть ограничения на импорт средств КЗИ, но эти ограничения
не касаются стандартных криптографических алгоритмов.
• Индия – есть ограничения касательно «железа»; в отношении ПО
1. Ограничение ограничений нет.
использования • ЮАР - ограничивает лишь деятельность security service providers.
• Китай и страны бывшего СССР - ограничивают любые виды
использования средств КЗИ, если специальное разрешение на их
использование не было получено.
• При пересечении государственной границы или же в рамках уголовного
дела государственные органы могут потребовать от собственника
предоставления доступа (пароля) к зашифрованным данным.
2. • Указанные ограничения применяют: Нидерланды, Индия, Франция,
Предоставление Бельгия, Австралия.
прав доступа • Великобритания – отказ от предоставления доступа может привести к 2
годам заключения.
• США – регулирования КЗИ внутри страны нет, но есть строгие правила
на импорт.
3. Экспорт • Некоторые особо сложные средства КЗИ могут применяться в военных
товаров целях (товары двойного назначения).
двойного • Многие страны устанавливают строгие правила в отношении
назначения использования таких средств.
5 Правовое регулирование использования средств КЗИ в Украине © 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш»
- 6. Понятие «средств КЗИ» в украинском
законодательстве
Средство КЗИ - программное, аппаратно-программное,
аппаратное или иное средство, предназначенное для
криптографической защиты информации, а именно:
• средства, реализующие криптографические
алгоритмы преобразования информации;
• средства имитозащиты и электронной цифровой
подписи;
• системы и комплексы, в состав которых входят
средства КЗИ, и пр.
6 Правовое регулирование использования средств КЗИ в Украине © 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш»
- 7. Три уровня регулирования деятельности в сфере КЗИ
Уровень 1. Лицензирование
Любая деятельность в сфере КЗИ:
- 56 бит для симметричных алгоритмов;
- 512 бит для асимметричных алгоритмов;
- 112 бит для алгоритмов по эллиптичной кривой.
Уровень 2. Сертификация
Сертификация является обязательной для тех средств КЗИ, которые
подлежат обязательному экспортному контролю.
Уровень 3. Экспортный контроль
Обязательному экспортному контролю подлежат такие средства КЗИ:
- 56 бит для симметричных алгоритмов;
- 512 бит для асимметричных алгоритмов;
- 112 бит для алгоритмов по эллиптичной кривой.
- и пр.
7 Правовое регулирование использования средств КЗИ в Украине © 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш»
- 8. Признаки товаров двойного назначения, не подлежащих
экспортному контролю
Не подлежат экспортному контролю средства КЗИ, которые соответствуют всем
условиям:
1) пользователи самостоятельно не могут легко заменить криптографическую
функциональность;
2) разработанные для инсталляции пользователем без дальнейшей
значительной помощи со стороны поставщика;
3) в случае необходимости детальная информация о средствах КЗИ будет
доступной и по требованию ее можно будет предоставить уполномоченному
органу в стране экспортера.
4) доступность для общества посредством продажи без ограничений в пунктах
розничной торговли, предназначенных для чего-либо из приведенного ниже:
а. торговых операций в розницу;
б. торговых операций по почтовым заказам;
в. электронных торговых операций; или
г. торговых операций по телефонным заказам;
Решение о соответствии товаров условиям, перечисленным выше, принимается
Госэкспортконтролем на основании экспертного вывода Госспецсвязи.
8 Правовое регулирование использования средств КЗИ в Украине © 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш»
- 9. Что нужно, чтобы ввезти средство КЗИ в Украину?
Лицензия
Сертификат
соответствия
(экспертный
вывод) Экспортный
контроль
Лицензия на
импорт дисков*
1,5 года Контрольная
марка (или
лицензия СБУ)*
9 Правовое регулирование использования средств КЗИ в Украине © 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш»
- 10. Процедура прохождения сертификации и экспортного
контроля
Госорган Необходимые действия Время
• Получение заключения о соответствии • Около 30 дней
Госспецсвязи программного обеспечения признакам средств
КЗИ
• Регистрация импортера субъектом
осуществления международных передач • 1-2 недели
Госэкспортконтроль товаров
• Прохождение основной экспертизы • Около 30 дней
• Получение разрешения на осуществление
международной передачи товаров
• Рассмотрение заявления на прохождение • 30 дней
экспертизы на соответствие программного
Госспецсвязи обеспечения госстандартам Украины
• Прохождение экспертизы (сертификации) • От 1 до 12 месяцев
• Получение экспертного заключения • 2 месяца
(сертификата соответствия)
10 Правовое регулирование использования средств КЗИ в Украине © 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш»
- 11. Планируемые изменения в связи со вступлением Украины в
ВТО
• При вступлении в ВТО Украина приняла на
себя обязательство упростить ввоз в
Украину и использование средств КЗИ.
• Первым шагом было ограничение в начале
2010 года лицензирования.
• Также планируется:
• частичная отмена обязательной
сертификации средств КЗИ;
• внедрение дифференцированного
подхода к определению средств КЗИ,
подлежащих обязательной
государственной экспертизе; а также
• Упрощение процедуры импорта средств
КЗИ и другого оборудования с
функциями КЗИ.
11 Правовое регулирование использования средств КЗИ в Украине © 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш»
- 12. Какие изменения нужны?
• Упрощение процедур сертификации для тех средств КЗИ, которые
используют стандартные и общедоступные алгоритмы
криптографии (например, Blowfish, AES).
• Полная отмена лицензирования.
• …?
• …?
12 Правовое регулирование использования средств КЗИ в Украине © 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш»
- 13. Дмитрий Гадомский
Тел.: + 3 (044) 4909000
Моб.: + 3 (067) 7168538
E-mail: dgadomskiy@deloitte.com.ua
Факс: + 3 (044) 4909001
13 End Use: tax and legal issues © 2010 PJSC “Deloitte & Touche USC”
- 14. Назва «Делойт» відноситься до «Делойт Туш Томацу», об’єднанню фірм (Swiss Verein), зареєстрованому у відповідності
до швейцарського законодавства, а також до будь-яких з фірм, що входять до його складу, кожна з яких є самостійною
і незалежною юридичною особою. Детальний опис структури «Делойт Туш Томацу» і фірм, що входять до її складу, надано
в мережі Інтернет за адресою http://www.deloitte.com/about
Фірма „Делойт” надає послуги в галузі аудиту, оподаткування, управлінського та фінансового консультування державним
і приватним компаніям, які працюють у різних галузях промисловості. Фірма „Делойт” – це міжнародна мережа компаній,
які використовують свої широкі галузеві знання і багаторічний досвід практичної роботи під час обслуговування клієнтів
у будь-яких сферах діяльності у більш ніж140 країнах світу. Приблизно 169,000 спеціалістів фірми „Делойт” у всьому світі
прихильні ідеям досягнення досконалості у наданні професійних послуг своїм клієнтам.
Працівники фірми „Делойт” об`єднані особливою культурою співробітництва, яка, у поєднанні з перевагами культурного
розмаїття, направлена на розвиток моральних якостей і командного духу, а також підвищує цінність наших послуг
для клієнтів і ринків. Велику увагу компанія „Делойт” придiляє постійному навчанню своїх працівників, отриманню ними
досвіду практичної роботи і наданню можливостей кар`єрного зростання. Спеціалісти фірми „Делойт” сприяють укріпленню
корпоративної відповідальності, підвищенню загальної довіри до компаній об`єднання і створенню сприятливої
атмосфери у суспільстві.
© 2010 ПрАТ «Делойт енд Туш ЮСК» або © 2010 ТОВ «Делойт і Туш». Всі права застережено.