Презентація на тему:
нормативно-правове регулювання у галузі криптографічного захисту інформації в Україні та світі

НацІОНАЛЬНА АКАДЕМІЯ СЛУЖБИ БЕЗПЕКИ УКРАЇНИ навчально-науковий інститут інформаційної безпеки Магістерська робота «нормативно-правове регулювання у галузі криптографічного захисту інформації в Україні та світі» Виконав Студент 5-го курсу Троцько Богдан Володимирович Науковий керівник Мельник Сергій Володимирович

Предмет, об’єкт, мета та завдання Об’єктом роботи є криптографічний захист інформації як один з видів забезпечення таємності інформаційних ресурсів. Предметом роботи є нормативно-правове регулювання суспільних відносин, що пов’язані з криптографічним захистом інформації, його особливості та завдання. Метою роботи виступає оцінка стану нормативно-правового забезпечення криптографічного захисту інформації в Україні. Для досягнення мети були поставлені і вирішені наступні завдання: 1.Проаналізувати історичний розвиток криптографії та криптографічного захисту інформації як правової галузі та зробити огляд державної політики у сфері криптографії в Україні та інших крїнах світу. 2. Дослідити регулювання господарських відносин у сфері криптографічного захисту інформації та особливості правового регулювання елетронно-цифрового підпису в Україні. 3. Розкрити поняття стандартизації та дослідити дане явище в контексті криптографічного захисту інофрмації.

Визначення та поняття, використані в роботі Криптологія - розділ науки, що вивчає методи шифрування і дешифрування інформації. Вона включає в себе два розділи: криптографію та криптоаналіз. Криптографія займається розробкою методів шифрування даних, у той час як криптоаналіз займається оцінкою сильних і слабких сторін методів шифрування, а також розробкою методів, які дозволяють зламувати криптосистеми. Криптографічний захист - вид захисту, що реалізується за допомогою перетворень інформації з використанням спеціальних даних (ключових даних) з метою приховування (або відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства тощо. Електронний цифровий підпис - вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа. стандартизація - діяльність, що полягає у встановленні положень для загального і багаторазового застосування щодо наявних чи можливих завдань з метою досягнення оптимального ступеня впорядкування у певній сфері, результатом якої є підвищення ступеня відповідності продукції, процесів та послуг їх функціональному призначенню, усуненню бар'єрів у торгівлі і сприянню науково-технічному співробітництву.

Історія КЗІ Слово “криптологія” (англ. cryptology) зустрічається в англійській мові з XVII століття, і спочатку означало “таємність в мові”, в сучасному значенні було введено американським вченим Вільямом Фрідменом і популяризована письменником Девідом Каном. - Найперші форми тайнопису вимагали не більше ніж аналог олівця та паперу, оскільки в ті часи більшість людей не могли читати. Поширення писемності, або писемності серед ворогів, викликало потребу саме в криптографії. Основними типами класичних шифрів є перестановочні шифри, які змінюють порядок літер в повідомленні, та підстановочні шифри, які систематично замінюють літери або групи літер іншими літерами або групами літер. - Після відкриття частотного аналізу в 9-му столітті майже всі такі шифри стали більш-менш легко зламними досвідченим фахівцем. Майже всі шифри залишались беззахисними перед криптоаналізом з використанням частотного аналізу до винаходу поліалфавітного шифру, швидше за все, Леоном-Батіста Альберті приблизно в 1467 році. - В 1883 Огюст Кіркгоф озвучює один із основположних принципів криптографічних систем суть якого в тому, що ворог знає алгоритм але не може розшифрувати інформацію без ключа. Поява цифрових комп'ютерів та електроніки після Другої світової війни зробило можливим появу складніших шифрів. Більше того, комп'ютери дозволяли шифрувати будь-які дані, які можна представити в комп'ютері у двійковому виді, на відміну від класичних шифрів, які розроблялись для шифрування письмових текстів. Широкі академічні дослідження криптографії з'явились порівняно нещодавно — починаючи з середини 1970-тих, разом із появою відкритої специфікації стандарту DES (Data Encryption) Національного Бюро Стандартів США, публікацій Діффі Хелмана та оприлюдненням алгоритму RSA.

Політика в сфері криптографіного захисту інформації в Україні та інших державах світу Огляд складений інформаційним центром EPIC (Electronic Privacy Information Center) захисту конфіденційності інформації в електронних системах за дорученням комітету GLIP. Центр EPIC розіслав запити посольствам, місіям ООН, урядовим міністерствам та інформаційним центрам цих країн і територій з проханням дати відповіді по чотирьох основних аспектів політики в галузі криптографії. - Контроль уряду за застосуваннями криптографії всередині країни; - Контроль уряду за імпортом в країну комп'ютерних програм, які можуть бути використані в криптографії; - Контроль уряду за експортом розроблених в країні комп'ютерних програм або апаратних засобів, що допускають застосування криптографії; - Наявність урядового агентства або департаменту, відповідального за реалізацію прийнятої політики контролю застосування криптографії, імпорту та експорту криптографічних продуктів і технологій.

За результатами опитування ці країни розділені на три групи залежно від характеру прийнятої і реалізованої в них політики контролю криптографії. Цим групам присвоєні такі позначення: - Green - зелена (3) - країни, які дотримуються основних положень OECD про криптографію, тобто практично не обмежують її вільного застосування; - Yellow - жовта ( Ж) країни, які мають намір ввести певний контроль криптографії, включаючи її застосування всередині країни і експорт програмних засобів подвійного призначення; - Red - червона (Ч) - країни, що здійснюють контроль криптографії та її застосувань всередині країни. Деякі країни не можна безумовно віднести до тієї чи іншої групи. Їм присвоюються проміжні позначення, наприклад, yellow/red -жовта/червона. Проаналізувавши політику ряду країн відносно застосування, імпорту та експорту криптографічної продукції можна зробити висновок, що країни-виробники криптопродуктів за останнє півстоліття пом’якшують контроль за вивезеннм та ввезенням даної категорії товарів. Така тенденція зумовлена наявністю великого бізнес середовища, що виробляє продукцію криптографічного профілю. Створення жорстких заборон на експорт криптопродукції фактично б закрило її доступ на міжнародний ринок. Такая позиція держави втратила б один із напрямків збору доходів. З іншого боу деякі держави через свій політичний вектор все ж таки суттєво обмжують доступ криптографії до окремих країн. Наприклад, США визначила ряд країни в які вона суттєво обмежила експорт криптографії, таких як Іран, Судан, Лівія, Північна Корея. Політика в сфері криптографіного захисту інформації в Україні та інших державах світу

Нормативно-правове регулювання господарських відносин у сфері криптографічного захисту інформації в Україні. Згідно закону “Про ліцензування певних видів господарської діяльності”, а також наказу Державного комітету України з питань регуляторної політики та підприємництва №8/216 діяльність, що пов'язана з розробкою, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного та технічного захисту інформації, а також з наданням послуг із криптографічного та технічного захисту інформації не може здійснюватися без ліцензії. Видача ліцензій здійснюється в порядку передбаченому Положенням “Про порядок ліцензування підприємницької діяльності”, затв. Пост. КМ України N 1020 від 03.06.1998 р. У разі здійснення підприємницької діяльності без ліцензії громадянин або винна посадова особа підприємства можуть бути притягнуті до адміністративної відповідальності за ст. 164 Кодексу про адміністративні правопорушення України. Якщо таке правопорушення буде скоєно повторно протягом року після накладення адміністративного стягнення, винна особа може бути притягнута до кримінальної відповідальності за ст. 148-3. КК України “Порушення порядку заняття підприємницькою діяльністю”

Правове регулювання електронно-цифрового підпису Зарубіжні країни по-різному визначають ЕЦП, хоча основні, базові риси і властивості ЕЦП указуються в кожному законі. Держави – члени Європейського Союзу в своїх законодавчих актах наслідують прийняту в Європейському Союзі Директиву Європейського Парламенту і Ради № 1999/93/EС "Про загальні рамкові умови для електронних підписів". Відповідно до неї ЕЦП – це "дані в електронній формі, які прикладені до інших електронних даних або логічно з ними пов'язані і призначені для аутентифікації". Федеральний закон Німеччини "Про цифровий підпис" 1997 р., наслідуючи положення Директиви, практично повторює це визначення. Закон Ірландії "Про електронну комерцію" також практично повторює це визначення.Федеральний закон Австрії "Про цифровий підпис" 2000 року визначає ЕЦП як "електронні дані, які додаються до інших електронних даних або пов'язані з ними іншим логічним способом і служать для аутентифікації змісту документа та ідентифікації особи, що підписала документ". Закон Великобританії "Про електронні комунікації" 2001 року дає наступне визначення ЕЦП: "Суть, що має електронну форму, включена в склад або іншим чином пов'язана з електронними даними і призначена для їх аутентифікації". Федеральний закон США "Про електронні підписи в глобальній і національній торгівлі" 2000 р. визначає ЕЦП як "електронний звук, символ або процес, прикріплений або логічно пов'язаний з контрактом або іншим документом і здійснений або вибраний особою з наміром підписати документ".

Для регулювання правовідносин у сфері ЕЦП технологій Верховна Рада України ухвалила кілька Законів України, які набули чинності: - "Про електронні документи та електронний документообіг" від 22 травня 2003 р. № 851-IV; - "Про електронний цифровий підпис" від 22 травня 2003 p. № 852-IV; - "Про обов'язковий примірник документів" від 9 квітня 1999 p. № 595-XTV; - "Про Національну програму інформатизації" від 4 лютого 1998 р. № 74/98-ВР; - "Про телекомунікації" від 18 листопада 2003 p. № 1280-IV; - "Про Національну систему конфіденційного зв'язку" від 10 січня 2002 р. № 2919-111; - "Про захист інформації в інформаційно-телекомунікаційних системах" від 5 липня 1994 р. № 80/94-ВР. Правове регулювання електронно-цифрового підпису

Стандартизація в галузі КЗІ Міжнародна стандартизація - стандартизація, участь у якій відкрита для відповідних органів усіх країн. національна стандартизація - стандартизація, що проводиться на рівні однієї країни; Основними завданнями стандартизації є: - встановлення вимог до технічного рівня і якості продукції, сировини, матеріалів, напівфабрикатів і комплектуючих виробів, а також норм, вимог і методів у галузі проектування і виробництва продукції, що дозволяють прискорювати впровадження прогресивних методів виробництва продукції високої якості і ліквідувати нераціональне різноманіття видів, марок і розмірів; - розвиток уніфікації і агрегатування промислової продукції як найважливішої умови спеціалізації виробництва; - комплексної механізації та автоматизації виробничих процесів, підвищення рівня взаємозамінності, ефективності експлуатації і ремонту виробів; - забезпечення єдності та достовірності вимірювань в країні, створення і вдосконалення державних еталонів одиниць фізичних величин, також методів і засобів вимірювань вищої точності;

Висновки Досвід законодавчого регулювання а також політика у цій сфері зарубіжних країн дали змогу виявити ряд закономірностей та зробити ряд висновків. Проаналізувавши історичні підвалини розвитку КЗІ, можна стверджувати що криптографія за період свого формування стала не просто інструментом засекречення інформації а взагалі невід’ємним атрибутом будь-якої сучасної інформаційної системи, а з появою асиметричної криптографії — основою електронної комерції. Розглядаючи політику окремих країн у даній сфері, можна дійти висновку, що сучасна тенденція в сфері імпорту, експорту та використання засобів КЗІ направлена на пом’якшення контролю у цій сфері, це каже про те, що криптографія перестали бути справою виключно держави як це було раніше. Здійснивши огляд нормативно-правового забезпечення господарських відносин у сфері КЗІ можна зробити висновок, що Україна має жорсткий механізм контролю за діяльністю господарств, що мають відношення до криптографічного захисту. Майже всі господарські відносини, що пов’язані с КЗІ підлягають ліцензуванню. Виявлено також деякі недоліки в самих нормативних актах, зокрема тих, що мають відношення до визначення понять. Саме питання криптографічного захисту інформації в Україні розкрите в ряді окремих нормативних актах, зокрема в “Положенні про порядок здійснення криптографічного захисту інформації”, але це настільки обширне питання, що заслуговує його врегулювання на рівні закону. Крім того, уніфікація в єдиному законі усіх аспектів, що пов’язані з криптографією є більш зручним підходом. В роботі розкрито питання актуальності і доцільності державного контролю за використанням засобів КЗІ а також чим цей контроль може загрожувати суспільству. Проаналізувавши ряд наукових праць та різного роду статей в даному напрямку, можна зробити висновок, що політика обмеження на засоби КЗІ в середині країни, дає більше негативного впливу на суспільство. Обмеження на створення та використання КЗІ по-перше пригальмовує розвиток власної виробничої інфрааструктури в даному напрямку, а по-друге позбавляє права суспільство захищатися тими засобами КЗІ, якими воно хоче. В окремому розділі висвітлені питання, що розкривають сутність стандартизації її роль в суспільстві та відношення до КЗІ. Аналізуючи нормативно-правову документацію було виявлено, що на сьогодні не визначений орган центральної влади у сфері стандартизації, який би формував і реалізовував політику у даному напрямку. У сфері ж КЗІ питанням стандартизації займається Державна служба спеціального зв’язку та захисту інформації України, яка згідно своїх завдань, співпрацюючи зі центральним органом виконавчої влади повинна здійснювати сертифікацію засобів КЗІ а також затверджувати стандарти на національному рівні.