В ХХІ веке уже почти невозможно осуществлять коммерческую деятельность без использования компьютера, факса, мобильной связи и т.п. Но эффективное использование высоких технологий возможно лишь при надлежащем нормативно-правовом регулировании. Не являются исключением и отношения, возникающие в связи с использованием средств криптографической защиты информации (средство КЗИ). Ранее криптографические системы ввиду их высокой стоимости и сложности использовались лишь правоохранительными органами. С распространением же мощных и относительно дешевых персональных компьютеров появилась реальная возможность использования криптографии как гражданами, так и субъектами хозяйствования.

Для урегулирования использования средств КЗИ на Украине на протяжении последних пяти-семи лет был принят ряд нормативно-правовых актов, важнейшими из которых являются Положение о порядке осуществления криптографической защиты информации на Украине, утвержденное Указом Президента Украины от 22 мая 1998 года № 505, Положение о порядке разработки, производства и эксплуатации средств криптографической защиты конфиденциальной информации и открытой информации с использованием электронной цифровой подписи (ЭЦП), утвержденное приказом Департамента

специальных телекоммуникационных технологий и защиты информации Службы безопасности Украины (Департамент) № 53 от 30 ноября 1999 года (Положение о средствах КЗИ) и Закон Украины «Об электронной цифровой подписи» от 22 мая 2003 года.

Указанные нормативно-правовые акты определяют порядок разработки, производства и эксплуатации как обычных средств КЗИ, так и использующих средства ЭЦП. Тем не менее неоднозначность определенных правовых норм Положения о средствах КЗИ усложняет или делает невозможным его применение к определенным правоотношениям, возникающим в связи с эксплуатацией средств КЗИ и ЭЦП субъектами хозяйствования на Украине.

Предметом рассмотрения данной статьи станет проблема превышения Департаментом предусмотренных Законом полномочий и урегулирование порядка эксплуатации средств криптографической защиты не только информации, относящейся к государственной тайне, но и не являющейся таковой. Вследствие чего на субъектов хозяйствования, использующих средства КЗИ для защиты принадлежащей им информации, была возложена обязанность получать на такие средства сертификат соответствия или экспертное заключение Департамента, а также учитывать их в соответствии с установленной процедурой. Поскольку под действие Положения подпадает даже широко используемая на Украине программа Micro­soft Outlook, именно на ее примере попытаемся раскрыть содержание проблемы и предложить пути ее разрешения.

В соответствии с пунктом 1.4. Положения средством КЗИ является программное, аппаратно-программное и аппаратное средство, предназначенное для криптографической защиты информации. Под криптографической защитой информации следует понимать вид защиты путем преобразования информации с использованием специальных ключевых данных с целью сокрытия (или восстановления) содержания информации, подтверждения ее целостности, авторства и т.п.

Одним из типов КЗИ являются программные средства, работающие в среде операционных систем электронно-вычислительной техники и взаимодействующие с общим прикладным программным обеспечением. Простое сравнение признаков программного средства КЗИ с признаками Microsoft Outlook дает следующие результаты.

Microsoft Outlook содержит опцию

«Безопасность» («Инструменты» => «Настройки» => «Безопасность»), позволяющую с помощью личного ключа зашифровать содержание электронного сообщения и прикрепленные к нему файлы, а также присоединить к отсылаемому сообщению электронную подпись.

Личные и соответствующие им публичные ключи могут генерироваться любым провайдером услуг по сертификации ключей. Для удобства пользователей опция «Безопасность» содержит гиперссылку на сайт компании Microsoft, где опубликован перечень провайдеров услуг по сертификации ключей, таких как VeriSign, GlobalSign, Thawte Certification и ВТ. Указанные компании генерируют личные и публичные ключи, а также выдают на них сертификаты любому, кто пройдет простую процедуру регистрации на их сайтах.

Например, во время написания данной статьи компания VeriSign проводила акцию и в режиме on-line бесплатно генерировала всем желающим личные и публичные ключи, выдавала соответствующие SSL-сертификаты первого класса защиты и предоставляла возможность пользоваться ими бесплатно на протяжении 60 дней.

Сгенерированные провайдером ключи и выданные сертификаты автоматически вносятся в реестр Microsoft Outlook и могут быть использованы для шифрования сообщений с помощью определенных алгоритмов, таких как 3DES, RC2, DES и пр. Для подписания электронных сообщений используются хеш-алгоритмы, такие как SHA1, MD2 и т.п.

Таким образом, можно сделать вывод о том, что Microsoft Outlook имеет все признаки программного средства КЗИ, потому каждый, кто «эксплуатирует» (термин взят из Положения о средствах КЗИ) указанную компьютерную программу, обязан получить сертификат соответствия или экспертное заключение Департамента (пункт 4.1) и эксплуатировать ее в соответствии с разделом 4 Положения.

Но если признать верность указанного вывода, то необходимо ответить и на следующие вопросы.

1. На кого возлагается обязанность осуществлять сертификацию или экспертизу Microsoft Outlook? К сожалению, Положение не определяет субъекта, на которого возлагается такая обязанность. Им может быть: лицензиар (компания Microsoft), его реселлер или лицензиат (субъект хозяйственной деятельности, использующий Microsoft Outlook).

2. Каким образом осуществлять учет копий Microsoft Outlook? Согласно пункту 4.4 Положения, средства КЗИ в начале эксплуатации берутся организацией, эксплуатирующей их, на поэкземплярный учет. Единицей такого учета средств КЗИ являются: 1) для аппаратных и аппаратно-программных средств — конструктивно законченное техническое средство; 2) для программных средств — инсталляционная дискета, компакт-диск и т.п.

Тем не менее в большинстве случаев невозможно осуществить поэкземплярный учет Microsoft Outlook, поскольку один инсталляционный диск позволяет установить компьютерную программу на несколько компьютеров (количество указывается в лицензионном договоре), а Интернет позволяет загрузить указанные программы непосредственно с сайта лицензиара.

3. Распространяются ли требования Положения на нерезидентов Украины, которые перемещают через таможенную границу и эксплуатируют на территории Украины Microsoft Outlook? Анализ текста Положения свидетельствует, что оно не регламентирует порядок эксплуатации Microsoft Outlook субъектами хозяйствования — нерезидентами Украины, работники которых перемещают через таможенную границу Украины и используют на ее территории ноутбуки, на которых проинсталлирована указанная компьютерная программа.

4. Каков порядок проведения сертификации или экспертизы Microsoft Outlook?

5. Какую ответственность несет субъект хозяйствования, эксплуатирующий Microsoft­ Outlook без сертификата соответствия или экспертного заключения Департамента?

К сожалению, законодательство Украины не дает однозначного ответа на поставленные вопросы. Но, по-моему, он может быть только один: Положение о средствах КЗИ не распространяется на отношения, возникающие во время эксплуатации субъектами хозяйствования средств КЗИ, включая Microsoft Outlook, если они используются для защиты информации, не относящейся к государственной тайне. В подтверждение этой позиции считаю необходимым привести следующие аргументы.

Во-первых, Положение о средствах КЗИ было принято Департаментом с превышением предусмотренных Законом полномочий. В соответствии со статьей 19 Конституции Украины органы государственной власти… обязаны действовать лишь на основании, в пределах и способом, предусмотренными Конституцией и законами Украины. Закон Украины «О Службе безопасности Украины» от 25 марта 1992 года (Закон о СБУ) предусматривает, что в пределах предусмотренной законодательством компетенции на СБУ возлагается обязанность по обеспечению охраны государственной тайны (статья 2). Для выполнения этой задачи СБУ обязана осуществлять мероприятия по криптографической и технической защите секретной информации (абзац 1 пункта 14 статьи 24).

В соответствии с Указом Президента Украины «О мероприятиях по защите информационных ресурсов государства» № 582/2000 от 10 апреля 2000 года был создан Департамент специальных телекоммуникационных систем и защиты информации Службы безопасности Украины, на который возложена функция реализации государственной политики в сфере защиты государственных информационных ресурсов в сетях передачи данных, криптографической и технической защиты информации (пункт 2). В Указе Президента не конкретизируется вид информации, которую обязан защищать Департамент, поэтому на основании абзаца 1 пункта 14 статьи 24 Закона о СБУ можно сделать вывод, что защите подлежит только секретная информация.

Закон Украины «Об информации» от 2 октября 1992 года не дает определения термина «секретная информация», поскольку оперирует термином «информация с ограниченным доступом», которая делится на конфиденциальную и тайную. Конфиденциальная информация — это сведения, которые находятся во владении, пользовании или распоряжении отдельных физических или юридических лиц и распространяются по их желанию в соответствии с установленными условиями. К тайной относится информация, содержащая сведения, составляющие государственную и другую предусмотренную Законом тайну, разглашение которой наносит ущерб личности, обществу и государству.

Таким образом, на основании вышеизложенного можно сделать вывод о том, что Департамент имеет право регулировать лишь те отношения, которые возникают в связи с криптографической защитой информации, относящейся к государственной тайне. А поскольку Положение регулирует использование субъектами хозяйствования средств КЗИ, не относящейся к государственной тайне, его следует признать незаконным, поскольку оно было принято Департаментом с превышением предусмотренных Законом полномочий.

Во-вторых, нормы Положения противоречат мировой практике использования Microsoft Outlook. Согласно Закону Украины «Об авторском праве и смежных правах» от 23 декабря 1993 года, единственным и достаточным основанием для использования Microsoft Outlook является лицензионный договор, который заключается с компанией Microsoft в электронной форме во время инсталляции программы с компьютерного диска или из сети Интернет. Ни одна копия Microsoft Outlook, из продающихся не только на Украине, но и за границей, не сопровождается сертификатом соответствия или экспертным заключением спецслужб.

В-третьих, нормы Положения являются дискриминационными по отношению к тем субъектам хозяйствования, которые не применяют средства КЗИ, пользуясь Micro­soft Outlook. Программные средства КЗИ и ЭЦП неразделимо интегрированы в Micro­soft Outlook и с технической точки зрения невозможно получить в пользование версию указанной программы без таких средств. Тем не менее анализ Положения дает возможность сделать вывод о том, что эксплуатацией средств КЗИ являются не только активные действия субъектов хозяйствования относительно шифрования и подписания с помощью Microsoft Out­look электронных сообщений, но и получение, хранение и ознакомление с электронными сообщениями, зашифрованными и подписанными третьими лицами. Это, в свою очередь, означает, что осуществление этих действий без сертификата соответствия или экспертного заключения Департамента незаконно.

По-моему, это противоречит не только здравому смыслу, но и создает дополнительные ограничения для осуществления коммерческой деятельности на Украине.

Учитывая все вышеперечисленные аргументы, можно сделать следующие выводы.

Урегулирование Департаментом порядка эксплуатации средств КЗИ, которая не относится к государственной тайне, является превышением предоставленных полномочий. Положение в действующей редакции применяться не может, оно должно быть отменено или соответствующим образом изменено.

Использование Microsoft Outlook для получения и отправки зашифрованных

и/или подписанных ЭЦП сообщений, не содержащих информации, относящейся к государственной тайне, следует считать законным и без получения сертификата соответствия или экспертного заключения Департамента.