Всі рубрики


Імпортні програми для криптографічного захисту

Митне оформлення Комп’ютерна програма, розроблена іноземною компанією за індивідуальним замовленням української компанії, вважається послугою з митною метою. Оскільки митному контролю підлягають лише товари й транспортні засоби, які переміщуються через митний кордон України (ст. 40 Митного Кодексу), передача іноземним розробником комп’ютерної програми для криптографічного захисту інформації українському замовнику не підлягає митному контролю й митному оформленню. Але для замовника має значення, яким чином відбувається передача програми. Якщо програма передається (поставляється) на диску, поставка такої програми підлягає митному контролю, як і будь-який інший товар, що імпортується в Україну. Наприклад, якщо замовник отримає комп’ютерну програму на диску поштою, такий диск підлягатиме митному контролю в звичайному порядку. При цьому замовник буде зобов’язаний подати вантажну митну декларацію, якщо вартість диску (включаючи, зокрема, витрати на його доставку в Україну) перевищить 100 Євро. Якщо ж замовник самостійно завантажить програму через інтернет (із сторінки розробника), питання митного контролю й митного оформлення взагалі не виникають, оскільки не відбувається переміщення товарів через митний кордон України. Аналогічний підхід застосовує Федеральна митна служба РФ, яка зазначає, що митному оформленню підлягає не інформація (комп’ютерна програма, мобільний контент), що передається через Інтернет, а товар, який переміщується через митний кордон і містить таку інформацію, тобто матеріальний носій інформації (лист ФМС РФ № 15-14/8524 від 17.03.2006 р.)      Ліцензування Діяльність у сфері криптографічного захисту інформації підлягає ліцензуванню (п. 14 ст. 9 Закону  «Про ліцензування певних видів господарської діяльностівід 01.06.00 р.). Ліцензується, зокрема, ввезення, використання та експлуатація засобів криптографічного захисту інформації, а також надання послуг з криптографічного захисту інформації. Органом ліцензування є Державна служба спеціального зв’язку та захисту інформації. Законодавство України не розмежовує ситуації, коли, з одного боку, замовник купує й використовує комп’ютерну програму виключно для внутрішніх потреб, а з іншого — коли замовник за допомогою придбаної програми надає послуги по захисту інформації третім особам. Тому виникає закономірне питання, чи зобов’язане підприємство отримувати ліцензію для використання такої комп’ютерної програми, якщо предметом його діяльності є, наприклад, надання консультаційних послуг іноземним інвесторам, і при цьому підприємство своїми силами забезпечує захист власної комерційної інформації від посягань третіх осіб і не надає послуг із захисту інформації третім особам. Відповідь: не зобов’язане.    У Законі «Про ліцензування певних видів господарської діяльності» господарська діяльність визначається як «будь-яка діяльність, у тому числі підприємницька, юридичних осіб, … пов’язана з виробництвом (виготовленням) продукції, торгівлею, наданням послуг, виконанням робіт». Тобто ліцензію має отримувати суб’єкт господарської діяльності, який використовує комп’ютерну програму для виробництва продукції, виконання робіт, надання послуг або продає цю комп’ютерну програму третім особам. Іншими словами, ліцензію на провадження діяльності у сфері криптографічного захисту інформації необхідно отримувати тоді, коли така діяльність безпосередньо спрямована на отримання доходу, наприклад, при наданні послуг шифрування третім особам. І навпаки, якщо компанія використовує комп’ютерну програму виключно для внутрішніх господарських потреб і її використання не приносить доходу (а навпаки, є додатковою статтею витрат компанії), ліцензію отримувати не потрібно. Припускаючи, що орган ліцензування може не погодитися з такою позицією щодо отримання ліцензії, можна порекомендувати компаніям звертатися за придбанням послуг з шифрування до суб’єктів господарювання, які вже мають відповідну ліцензію. У такому випадку клієнт звільняється від обов’язку отримання ліцензії (п.3.1 Ліцензійних умов провадження діяльності у сфері криптографічного захисту інформації,  затверджених спільним Наказом Держкомпідприємництва та Держспецзв’язку № 8/216 від 26.01.08 р.).   Сертифікація Комп’ютерні програми для шифрування конфіденційної інформації підлягають сертифікації/державній експертизі в Україні лише тоді,  коли за допомогою певної комп’ютерної програми здійснюється захист інформації, яка є власністю держави або становить державну таємницю, а також інформації, вимоги щодо обов’язкового захисту якої встановлюються законом, наприклад, інформація про перекази коштів в платіжних системах (п. 8 Указу Президента № 505/98 від 22.05.98 р. та п. 4.1 Наказу Держспецзв’язку № 141 від 20.07.07 р.) Відповідно, можна зробити висновок, що комп’ютерні програми, які не містять інформації, яка є власністю держави або становить державну таємницю, не повинні проходити процедуру сертифікації (державної експертизи). Водночас, як і у випадку з ліцензуванням, законодавство України чітко не встановлює таких винятків. Виходячи з положень нормативних актів, які регулюють проведення сертифікації й державної експертизи, можна дійти висновку, що обов’язковість сертифікації залежить від двох факторів: (1) правовий режим і зміст інформації, яка захищається шляхом шифрування і (2) хто здійснює захист інформації. Наприклад, якщо програма використовується для захисту інформації, яка становить державну таємницю, або для надання послуг по захисту інформації третім особам, сертифікація такої програми є обов’язковою. З іншого боку, якщо інформація не є державною таємницею і захист такої інформації її власник здійснює самостійно (наприклад, юридична фірма захищає свої повідомлення клієнту шляхом шифрування), сертифікація не повинна бути обов’язковою. Звичайно, органи, які здійснюють сертифікацію/державну експертизу можуть дотримуватися іншої думки. Тоді для компанії буде ефективніше звернутися за придбанням програми або послуг по захисту інформації до суб’єкта, який отримав сертифікат/висновок державної експертизи. Обов’язкова державна експертиза проводиться також, якщо комп’ютерна програма була розроблена за кордоном і передача такої програми замовнику в Україну підлягає експортному контролю. При цьому словосполучення «експортний контроль» має специфічне значення, оскільки такий контроль поширюється не лише на вивезення програми за межі України, але й на її ввезення в Україну.   Експортний контроль Під експортний контроль, незважаючи на назву, підпадає не лише експорт шифрувальних комп’ютерних програм із України, але й ввезення таких програм в Україну. Йдеться про міжнародну передачу товарів подвійного використання, яка контролюється Державною службою експортного контролю за переліком товарів подвійного використання, затвердженим Постановою Кабміну № 86 від 28.01.04 р. При цьому для експортного контролю не має значення, якими каналами чи на яких носіях здійснюється передача підконтрольних товарів. Тобто контролю може підлягати навіть передача комп’ютерних програм через Інтернет, хоча практичне здійснення такого контролю важко уявити. Ознаками, за якими визначається підконтрольність передачі комп’ютерної програми від іноземного розробника українському замовнику є, зокрема, алгоритм шифрування й довжина ключа. Наприклад, експортному контролю підлягає ввезення комп’ютерної програми, у якій використовується симетричний алгоритм шифрування з довжиною ключа понад 56 біт. Більшість сучасних програм для шифрування із симетричним алгоритмом шифрування підпадають під експортний контроль, оскільки довжина ключа, від якої також залежить стійкість шифру, складає понад 56 біт. Для порівняння, в операційній системі Windows XP Service Pack 1, підтримка якої була припинена ще 2006 року, використовувався симетричний алгоритм шифрування AES (Advance Encryption Standard) з довжиною ключа 256 біт. Програми ж, спеціально розроблені для шифрування, використовують ключі значно більшої довжини. Винятки з режиму експортного контролю, передбачені законодавством України, встановлюються з урахуванням призначення комп’ютерних програм, мети їх розроблення й завдань, які виконуються за допомогою програм. У будь-якому випадку рішення щодо того, чи поширюється режим експортного контролю на ввезення конкретної комп’ютерної програми в Україну приймається не замовником програми, а Державною службою експортного контролю за висновком Державної служби спеціального зв’язку та захисту інформації України.   На закінчення Актуальність захисту внутрішньої комерційної інформації підтверджують результати дослідження, проведеного Ponemon Institute в США. Згідно з дослідженням, 60 % звільнених працівників використовують інсайдерську інформацію з приватною метою, у тому числі, щоб нашкодити колишньому роботодавцю. Українська компанія має два шляхи для захисту інсайдерської інформації за допомогою шифрування: придбати комп’ютерну програму або скористатися послугами шифрування. Перший шлях здається безпечнішим, оскільки інформація не виходить за межі фірми. Крім того, він дешевий, оскільки багато надійних безкоштовних програм для шифрування сьогодні можна завантажити з інтернету. Другий шлях є дорожчим, але придбання послуг шифрування у ліцензованих суб’єктів господарської діяльності знімає всі ризики, пов’язані з ліцензуванням, сертифікацією й експортним контролем.    
 
 

 

 

 

 

 




 

 

 

 

 

 

 


Анонс номера
№1-12 | 30 червня
Тема тижня:
Трудове право
Тема тижня
  • Звільняти не можна залишити
Придбати PDF-версію
 
 

Юридичні компанії України

______________________________

     

______________________________