Використання Internet у банківському обслуговуванні клієнтів

дипломная работа

1.3 Законодавча база України, щодо порядку здійснення криптографічного захисту інформації в Україні

До числа проблем, що стримують розвиток Інтернет-банкінга, відноситься також відсутність чітко сформульованого і систематизованого законодавства як із питань захисту і безпеки, так і в області електронної комерції взагалі. Це, зрозуміло, не зупиняє тих, хто всерйоз зайнявся Інтернет-бізнесом. Необхідне їм юридичне обгрунтування власної діяльності вони складають із крупинок інформації, що вишукують у численних законодавчих актах, указах і інструкціях. Однак для тих, хто лише роздумує про нову справу, правовий туман є одним із барєрів на шляху в Інтернет. Втім те, що почалися зміни до кращого в законодавчому середовищі дають підстави сподіватися, що юридичні питання в недалекому майбутньому усі ж будуть урегульовані.

Криптографія на асиметричних ключах представляє найбільше надійний спосіб захисту інформації, що забезпечує вирішення всіх перерахованих вище завдань. Клієнт створює пари ключів (секретний і відкритий), із яких відкритий ключ передається в Банк, секретний знаходиться в розпорядженні клієнта і відомий тільки йому. Передані дистанційні розпорядження шифруються і підписуються електронно-цифровим підписом на секретному ключі клієнта. Банк перевіряє підпис за допомогою відкритого ключа клієнта.

При використанні криптографічного захисту велике значення має надійне збереження секретного ключа. Для збереження можуть використовуватися звичайні носії інформації (дискета, жорсткий диск) або захищені носії (смарт-картки, таблетки памяті). Найбільш надійним представляється спосіб, коли збереження робиться в EEPROM-памяті смарт-картки і криптографічні обчислення також робляться в памяті смарт-картки. У цьому випадку секретний ключ клієнта ніколи не покидає захищеного простору смарт-картки, чим забезпечується найвищий ступінь захисту секретної ключової інформації від несанкціонованого доступу.

Недоліком криптографічного захисту є необхідність навчання клієнтів користуватися такими засобами. У випадку смарт-карток і таблетки-памяті недоліком є висока ціна (від 5 долл.) і необхідність використання спеціалізованих рідерів.

Ліцензійна палата України Департамент спеціальних телекомунікаційних систем і захисту інформації СБ України видала наказ N 104/81 від 17.11.98 р.. Зареєстровано в Міністерстві юстиції України 30 листопада 1998 р. vd981117 vn104/81 N 760/3200 про затвердження Інструкції про умови і правила здійснення підприємницької діяльності (ліцензійні умови), повязаної з розробкою, виготовленням, ввезенням, вивозом, реалізацією і використовуванням засобів криптографічного захисту інформації, а також з наданням послуг з криптографічного захисту інформації, і контроль за їх дотриманням.

1. Загальні положення

1.1. Ця Інструкція розроблена відповідно до Законів України "Про підприємництво" ( 698-12 ), "Про інформацію" ( 2657-12 ) і "Про державну таємницю" ( 3855-12 ); Положенням про порядок здійснення криптографічного захисту інформації в Україні, затвердженим Указом Президента України від 22 травня 1998 року N 505/98; Положенням про Ліцензійну палату України, затвердженим Указом Президента України від 16 липня 1997 року N 648/97, і у виконання ухвали Кабінету Міністрів України від 3 липня 1998 року N 1020 ( 1020-98-п ) "Про порядок ліцензування підприємницької діяльності". Дія Інструкції розповсюджується на всіх субєктів підприємницької діяльності, які здійснюють діяльність у області криптографічного захисту інформації, незалежно від їх організаційних форм господарювання і форм власності.

1.2. Інструкція визначає умови і правила здійснення підприємницької діяльності (ліцензійні умови), повязаної з розробкою, виготовленням, ввезенням, вивозом, реалізацією і використовуванням засобів криптографічного захисту інформації, а також з наданням послуг з криптографічного захисту інформації, і контроль за їх дотриманням.

1.3 Використані в даній Інструкції терміни мають таке значення:

заявник - субєкт підприємницької діяльності, який подав заяву на здійснення певного виду діяльності;

криптографічний захист інформації - вид захисту, який реалізується за допомогою перетворень інформації з використанням спеціальних даних (ключових даних) з метою приховування (або відновлення) змісту інформації, підтвердження її достовірності, цілісності, авторства і тому подібне;

засіб криптографічного захисту інформації - програмний, апаратно-програмний, апаратний або інший засіб, призначений для криптографічного захисту інформації;

разовий (сеансовий) ключ - спеціальні дані, які задають програму роботи засобу криптографічного захисту інформації на певний проміжок часу;

устаткування криптографічного захисту інформації - технічні засоби, які взаємодіють із засобами криптографічного захисту інформації або керують ними, а також можуть впливати на їх криптографічні якості;

товари подвійного використовування - окремі види виробів, устаткування, матеріалів, програмного забезпечення і технологій, а також роботи і послуги, связані з ними, які, окрім основного цивільного призначення, можуть бути використані під час розробки, виробництва або використовування озброєння, військової або спеціальної техніки, які є обєктом покупки-продажу або обміну.

1.4 До засобів криптографічного захисту інформації відносяться:

- апаратні, програмні і апаратно-програмні засоби, які реалізують криптографічні алгоритми перетворення інформації;

- апаратні, програмні і апаратно-програмні засоби, системи і комплекси захисту від навязування неправдивої інформації, включаючи засоби імітозащити і "електронного підпису", які реалізують криптографічні алгоритми перетворення інформації;

- апаратні, програмні і апаратно-програмні засоби, системи і комплекси, предназначениє для виготовлення і розподілу ключових документів, які використовуються в засобах криптографічного захисту інформації, незалежно від виду носія ключової інформації;

- системи і комплекси (зокрема ті, які входять в системи і комплекси захисту інформації від несанкціонованого доступу НСД), до складу яких входять апаратні, програмні і аппаратнопрограммниє засоби, які реалізують криптографічні алгоритми перетворення інформації.

1.4 Конкретні вимоги до штатного персоналу, приміщень, режиму секретності (безпеки), інформаційно-обчислювальних комплексів, налагоджувальних стендів, виробничих потужностей і площ, технічних засобів вимірювання і контролю, технічній і експлуатаційній документації субєктів підприємницької діяльності регламентуються відповідними положеннями і іншими нормативними актами Департаменту.

2. Загальні умови здійснення діяльності у області криптографічного захисту інформації

2.1. Субєкти підприємницької діяльності повинні мати:

- штатний персонал, який відповідає заявленому виду діяльності і обєму робіт (по кількісному складу, професійній підготовці, досвіду роботи і кваліфікації); приміщення, необхідні для здійснення заявленої діяльності.

2.2. Субєкти підприємницької діяльності повинні мати внутрішнє положення, яке визначає завдання і функції кожного структурного підрозділу, функціональні обовязки кожного фахівця, а також їх відповідальність за забезпечення збереження інформації з обмеженим доступом при виконанні робіт.

2.3. Субєкти підприємницької діяльності повинні забезпечити режим секретності (при виконанні робіт, повязаних з державною таємницею).

2.4. У засновницьких документах субєкта підприємницької діяльності повинне бути передбачене здійснення заявленого виду діяльності.

3. Додаткові умови здійснення діяльності по розробці і виготовлення засобів криптографічного захисту інформації

3.1. Субєкти підприємницької діяльності повинні мати:

- інформаційно-обчислювальні комплекси (при розробці програмних, апаратно-програмних засобів криптографічного захисту інформації);

- налагоджувальні стенди, призначені для здійснення моделювання роботи апаратури в довільні проміжки часу роботи;

- відповідні виробничі потужності і площі, технічні засоби вимірювання і контролю і потрібний інструмент.

3.2. Субєкти підприємницької діяльності повинні мати власну нагоду для проведення ремонтно-відновних робіт (при виготовленні засобів криптографічного захисту інформації).

4. Додаткові умови здійснення діяльності по використовуванню засобів криптографічного захисту інформації

Субєкт підприємницької діяльності повинен мати:

- належну технічну і експлуатаційну документацію;

- відповідні інструкції і графіки проведення технічного обслуговування апаратури, яке потребує періодичного технічного обслуговування.

5. Особливі умови здійснення діяльності

Залежно від важливості інформації для особи, суспільства, держави і правового режиму доступу до інформації встановлюються особливі умови здійснення діяльності у області криптографічного захисту інформації:

- з наданням права проведення робіт у області криптографічного захисту інформації, який відноситься до державної таємниці;

- з наданням права проведення робіт у області криптографічного захисту службової інформації, створеної за замовленням державних органів або яка є власністю держави;

- з наданням права проведення робіт у області криптографічного захисту конфіденційної інформації.

Відмічені особливі умови повинні бути відображені у відповідному пункті ліцензії, яка видається субєктам підприємницької діяльності.

6. Правила здійснення діяльності у області криптографічного захисту інформації

Під час здійснення діяльності, відповідно до одержаної ліцензії, субєкти підприємницької діяльності повинні слідувати таким правилам:

- вести облік повного обєму робіт, які виконуються;

- виконувати вимоги нормативно-правових, нормативно-технічних і методичних документів;

- містити устаткування і контрольно-вимірювальну апаратуру в умовах, які забезпечать їх збереження і захист від пошкоджень.

7. Права і обовязки субєктів підприємницької діяльності

7.1. Субєкти підприємницької діяльності при здійсненні робіт у області криптографічного захисту інформації мають право:

- звертатися до Департаменту за потрібними консультаціями і сприянням з питань здійснення діяльності, яка ліцензіюється;

- одержувати від Департаменту інформацію щодо нормативно-методичного забезпечення діяльності у області криптографічного захисту інформації;

- оскаржити дії Департаменту у встановленому законом порядку.

7.2. Субєкти підприємницької діяльності при здійсненні робіт у області криптографічного захисту інформації зобовязані:

- здійснювати свою діяльність відповідно до вимог цієї Інструкції;

- забезпечувати встановлений режим секретності, якщо інформація про роботи, які проводяться, є таємницею;

- забезпечувати встановлений режим безпеки, якщо інформація про роботи, які проводяться, є конфіденційною;

- допускати співробітників Департаменту, які мають відповідні повноваження щодо виконання контрольних функцій, на свою територію і забезпечувати їх всією потрібною інформацією;

- негайно повідомляти до Департаменту про будь-які події, в результаті яких зацікавлені структури (особи) можуть одержати несанкціоновану інформацію про роботи, які мають таємний або конфіденційний характер;

- негайно інформувати Департамент про зміни умов діяльності, які визначені цією Інструкцією;

- відповідно до Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженим Указом Президентом України від 22 травня 1998 року N 505/98, для криптографічного захисту інформації, що складає державну таємницю, і службової інформації, яка створена за замовленням державних органів або яка є власністю держави, реалізувати і використати криптосистеми і засоби криптографічного захисту, які допущені до експлуатації;

- відповідно до Положення про порядок здійснення криптографічного захисту інформації в Україні, затвердженим Указом Президентом України від 22 травня 1998 р. N 505/98, з метою криптографічного захисту конфіденційної інформації реалізувати і використати криптосистеми і засоби криптографічного захисту, які мають сертифікат відповідності.

Субєктам підприємницької діяльності забороняється передавати ліцензію для користування іншим особам.

8. Контроль за виконанням субєктами підприємницької діяльності умов і правил здійснення діяльності у області криптографічного захисту інформації

8.1. Перевірка виконання субєктом підприємницької діяльності ліцензійних умов і правил здійснення діяльності у області криптографічного захисту інформації здійснюють Департамент і Ліцензійна палата. Про термін проведення перевірки Департамент повідомляє у письмовій формі субєкта підприємницької діяльності за десять календарних днів до її проведення.

8.2. Контроль за виконанням субєктами підприємницької діяльності ліцензійних умов проводиться Департаментом і Ліцензійною палатою України планово не більш один раз на рік, а також за рекламацією замовника або для вирішення питання щодо відновлення дії ліцензії.

8.3. У разі порушення субєктом підприємництва ліцензійних умов здійснення діяльності у області криптографічного захисту інформації Департамент видає обовязкові для виконання субєктом підприємницької діяльності розпорядження щодо усунення порушень або зупиняє дію ліцензії на певний термін або до усунення цих порушень.

8.4. У повідомленні про зупинку дії ліцензії, яка видається субєкту підприємницької діяльності у письмовій формі в строк не пізніше 5 днів з дня ухвалення рішення, указуються підстави такого рішення.

8.5. Дія ліцензії може бути відновлене у разі усунення знайдених порушень. Рішення про відновлення дії ліцензії ухвалюється Департаментом на підставі акту контрольної перевірки.

8.6. У разі повторного або грубого порушення субєктом підприємницької діяльності умов здійснення певного виду діяльності ліцензія може бути анульована.

До грубих порушень умов здійснення діяльності у області криптографічного захисту інформації відносяться:

- невиконання вимог нормативно-правових, нормативно-технічних і методичних документів, які регламентують здійснення діяльності у області криптографічного захисту інформації;

- незабезпечення режиму секретності (режиму безпеки);

- виконання робіт з порушенням вимог проектної документації;

- залучення до виконання робіт фахівців, рівень підготовки яких не відповідає вимогам цієї Інструкції.

8.7. Рішення про анулювання ліцензії ухвалюється Департаментом на підставі акту контрольної перевірки.

8.8. У повідомленні про анулювання ліцензії, яке видається субєкту підприємницької діяльності у письмовій формі в строк не пізніше 5 днів з дня ухвалення рішення, указуються підстави такого рішення.

Делись добром ;)