Возвращаясь к вопросу о конфиденциальности личной информации при использовании услуг операторов связи, я провел небольшой мониторинг правовых аспектов. Я мониторил законодательство Украины, не думаю, что оно значительно отличается от российского.
Вопросы меня интересовавшие:
— обязаны ли операторы связи обеспечивать конфиденциальность при использовании услуг связи?
— какова их ответственность за нарушение конфиденциальности?
— законно ли использование средств технической и криптографической защиты информации (ТЗИ и КЗИ) в личных целях?
— каков порядок использования средств КЗИ и ТЗИ в личных целях?
— какова ответственность за нарушение порядка использования средств КЗИ и ТЗИ в личных целях?
Важные моменты:
— речь идет о физических лицах;
— речь идет об информации, не попадающей под определение «информация с ограниченным доступом» (ИСОД)
Существенно обновлено.
Начнем с простого — обязанности и ответственность операторов связи.
Таким образом мы видим, что, не смотря на декларацию об ответственности за защиту информации в системе обработки, в законодательстве нет прямой нормы ответственности оператора связи за нарушение конфиденциальности при использовании услуг связи, но в судебном порядке можно привлечь к ответственности персонал оператора (что очень удобно для оператора связи). Напомню, что ИСОД и информация, владельцем которой является государство, — отдельная тема.
Далее о применении криптографии в личных целях.
Таким образом, даже использование(!) какой-бы то ни было криптографии требует наличия лицензии на КЗИ, в системах КЗИ допускается использование только тех средств, которые были ввезены согласно требованиям законодательства и на которые выдано соответствующее экспертное заключение. В отличие от КЗИ (криптозащита), ТЗИ (антивирусы, антиспам, контроль доступа, защита от утечки и т.п.) возможно использовать без лицензии, но вести хоз. деятельность по внедрению ТЗИ тоже подлежит лицензированию.
Резюмируя все вышесказанное, я могу сказать, что мой неглубокий анализ этой темы, показал, что права физических лиц на конфиденциальность личного общения не только не защищены, но и существенно ограничены законодательством. Использование средств КЗИ в личных целях чревато ответственностью. Операторы связи перекладывают ответственность за нарушение конфиденциальности на своих сотрудников.
Сразу даю поправку, что я не влезал в глубины нормативной документации, где могут быть послабления запрета на безлицензионное использование средств КЗИ, что все равно не обеспечивает защиту прав физических лиц в сетях, где использование таких средств затруднено (телефон, смс).
Если я где-то грубо ошибся, прошу меня поправить и я включу поправки в текст.
P.S. Надо отдать должное Госслужбе по спецсвязи и защите информации — у них на сайте все нужные законы и положения легко найти.
ОБНВ: Как я упоминал, мое исследование было поверхностным. Мне подсказали, что физическое лицо не есть «субъектом хозяйствования», что изменяет картину. Тогда получается, что права физического лица на использование средств криптозащиты в личных целях, не связанных с ведением хозяйственной деятельности, фактивчески явно не регламентировано законом (за исключением нормы импорта средств криптозащиты).
Вышеперечисленные лицензионные ограничения на использование КЗИ относятся к субъектам хозяйственной деятельности. Таким образом физлица имеют возможность использовать криптозащиту в личных целях. но должны отдавать себе отчет в том, что если их деятельность попадет под определение «хозяйственной деятельности», то ограничения будут применимы к ним.
Более детальное изучение законодательной базы не обнаружило порядка использования криптозащиты для физлиц. Прошу прощение, что ввел читателей в заблуждение
Спасибо Рустам.
Вопросы меня интересовавшие:
— обязаны ли операторы связи обеспечивать конфиденциальность при использовании услуг связи?
— какова их ответственность за нарушение конфиденциальности?
— законно ли использование средств технической и криптографической защиты информации (ТЗИ и КЗИ) в личных целях?
— каков порядок использования средств КЗИ и ТЗИ в личных целях?
— какова ответственность за нарушение порядка использования средств КЗИ и ТЗИ в личных целях?
Важные моменты:
— речь идет о физических лицах;
— речь идет об информации, не попадающей под определение «информация с ограниченным доступом» (ИСОД)
Существенно обновлено.
Операторы связи
Начнем с простого — обязанности и ответственность операторов связи.
Закон України «Про телекомунікації»
…
Стаття 32. Права споживачів телекомунікаційних послуг
1. Споживачі під час замовлення та/або отримання телекомунікаційних послуг мають право на:
1) державний захист своїх прав;
…
3) безпеку телекомунікаційних послуг; (інформаційна безпека телекомунікаційних мереж — здатність телекомунікаційних мереж забезпечувати захист від знищення, перекручення, блокування інформації, її несанкціонованого витоку або від порушення встановленого порядку її маршрутизації;)
…
12) відшкодування збитків, заподіяних унаслідок невиконання чи неналежного виконання оператором, провайдером телекомунікацій обов'язків, передбачених договором із споживачем чи законодавством;
13) оскарження неправомірних дій операторів, провайдерів телекомунікацій шляхом звернення до суду та уповноважених державних органів;
…
Стаття 39. Обов'язки операторів і провайдерів телекомунікацій
1. Оператори телекомунікацій зобов'язані:
…
17) вживати заходів для недопущення несанкціонованого доступу до телекомунікаційних мереж та інформації, що передається цими мережами;
…
4. Оператори телекомунікацій зобов'язані за власні кошти встановлювати на своїх телекомунікаційних мережах технічні засоби, необхідні для здійснення уповноваженими органами оперативно-розшукових заходів, і забезпечувати функціонування цих технічних засобів, а також у межах своїх повноважень сприяти проведенню оперативно-розшукових заходів та недопущенню розголошення організаційних і тактичних прийомів їх проведення. Оператори телекомунікацій зобов'язані забезпечувати захист зазначених технічних засобів від несанкціонованого доступу.
…
Стаття 40. Відповідальність операторів, провайдерів телекомунікацій
3. Питання відшкодування завданих споживачеві фактичних збитків, моральної шкоди, втраченої вигоди через неналежне виконання оператором, провайдером телекомунікацій обов'язків за договором про надання телекомунікаційних послуг вирішуються в судовому порядку.
4. Оператори, провайдери телекомунікацій не несуть відповідальності за зміст інформації, що передається їх мережами.
Стаття 41. Персонал операторів, провайдерів телекомунікацій
…
2. Персонал оператора, провайдера телекомунікацій несе відповідальність за порушення вимог законодавства України щодо збереження таємниці телефонних розмов, телеграфної чи іншої кореспонденції, що передаються засобами зв'язку або через комп'ютер, а також інформації з обмеженим доступом щодо організації та функціонування телекомунікаційних мереж в інтересах національної безпеки, оборони та охорони правопорядку.
Закон України «Про захист інформації в інформаційно-телекомунікаційних системах»
Стаття 5. Відносини між власником інформації та власником системи
Власник системи забезпечує захист інформації в системі в порядку та на умовах, визначених у договорі, який укладається ним із власником інформації, якщо інше не передбачено законом.
Власник системи на вимогу власника інформації надає відомості щодо захисту інформації в системі.
…
Стаття 9. Забезпечення захисту інформації в системі
Відповідальність за забезпечення захисту інформації в системі покладається на власника системи.
…
Таким образом мы видим, что, не смотря на декларацию об ответственности за защиту информации в системе обработки, в законодательстве нет прямой нормы ответственности оператора связи за нарушение конфиденциальности при использовании услуг связи, но в судебном порядке можно привлечь к ответственности персонал оператора (что очень удобно для оператора связи). Напомню, что ИСОД и информация, владельцем которой является государство, — отдельная тема.
Криптографическая защита информации
Далее о применении криптографии в личных целях.
Закон України «Про ліцензування певних видів господарської діяльності»
Стаття 2. Сфера дії Закону
Дія цього Закону поширюється на всіх суб'єктів господарювання.
…
Стаття 9. Види господарської діяльності, що підлягають ліцензуванню
…
14) розроблення, виробництво, використання, експлуатація, сертифікаційні випробування, тематичні дослідження, експертиза, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг в галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису), торгівля криптосистемами і засобами криптографічного захисту інформації;
…
16) розроблення, виробництво, впровадження, обслуговування, дослідження ефективності систем і засобів технічного захисту інформації, надання послуг в галузі технічного захисту інформації;
…
Стаття 22. Відповідальність за порушення норм цього Закону
Посадові особи органів ліцензування та спеціально уповноваженого органу з питань ліцензування у разі недодержання законодавства у сфері ліцензування несуть відповідальність згідно із законом.
До суб'єктів господарювання за провадження господарської діяльності без ліцензії застосовуються фінансові санкції у вигляді штрафів у розмірах, встановлених законом.
Зазначені штрафи спрямовуються до Державного бюджету України.
Рішення про стягнення штрафів приймаються органом, на який згідно з чинним законодавством покладено функції контролю за наявністю ліцензій.
…
ПОЛОЖЕННЯ про порядок здійснення криптографічного захисту інформації в Україні
1. Це Положення визначає порядок здійснення криптографічного захисту інформації з обмеженим доступом, розголошення якої завдає (може завдати) шкоди державі, суспільству або особі.
…
4. Ліцензування діяльності, пов'язаної з розробкою, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного захисту інформації, а також з наданням послуг із криптографічного захисту інформації, здійснюється згідно із законодавством України.
5. Державні органи, підприємства, установи і організації придбавають, ввозять в Україну, вивозять з України, використовують криптосистеми і засоби криптографічного захисту інформації за погодженням з Адміністрацією Державної служби спеціального зв'язку та захисту інформації України.
…
8. Для криптографічного захисту конфіденційної інформації використовуються криптосистеми і засоби криптографічного захисту, які мають сертифікат відповідності.
9. Порядок розроблення, виготовлення, розповсюдження, експлуатації, збереження, використання, випробування, сертифікації та допуску до експлуатації криптосистем і засобів криптографічного захисту інформації, контролю за додержанням вимог безпеки при проведенні цих робіт визначається відповідними положеннями.
…
Закон України «Про Державну службу спеціального зв'язку та захисту інформації України»
…
Стаття 16. Обов'язки Державної служби спеціального зв'язку та захисту інформації України:
…
16) встановлення порядку і вимог щодо використання інформаційно-телекомунікаційних систем, у тому числі загального користування, органами державної влади, органами місцевого самоврядування, підприємствами, установами і організаціями незалежно від форм власності, які збирають, обробляють, зберігають та передають інформацію, яка є власністю держави, або інформацію з обмеженим доступом, вимога щодо захисту якої встановлена законом;
17) видача відповідно до вимог законодавства ліцензій на провадження господарської діяльності у сфері криптографічного та технічного захисту інформації, а також дозволів органам державної влади на проведення робіт з технічного захисту інформації для власних потреб;
18) організація та координація разом з центральним органом виконавчої влади у сфері стандартизації, метрології та сертифікації робіт з проведення сертифікації засобів криптографічного та технічного захисту інформації, організація та проведення державної експертизи у сфері криптографічного та технічного захисту інформації;
...
Таким образом, даже использование(!) какой-бы то ни было криптографии требует наличия лицензии на КЗИ, в системах КЗИ допускается использование только тех средств, которые были ввезены согласно требованиям законодательства и на которые выдано соответствующее экспертное заключение. В отличие от КЗИ (криптозащита), ТЗИ (антивирусы, антиспам, контроль доступа, защита от утечки и т.п.) возможно использовать без лицензии, но вести хоз. деятельность по внедрению ТЗИ тоже подлежит лицензированию.
Заключение
Резюмируя все вышесказанное, я могу сказать, что мой неглубокий анализ этой темы, показал, что права физических лиц на конфиденциальность личного общения не только не защищены, но и существенно ограничены законодательством. Использование средств КЗИ в личных целях чревато ответственностью. Операторы связи перекладывают ответственность за нарушение конфиденциальности на своих сотрудников.
Сразу даю поправку, что я не влезал в глубины нормативной документации, где могут быть послабления запрета на безлицензионное использование средств КЗИ, что все равно не обеспечивает защиту прав физических лиц в сетях, где использование таких средств затруднено (телефон, смс).
Если я где-то грубо ошибся, прошу меня поправить и я включу поправки в текст.
P.S. Надо отдать должное Госслужбе по спецсвязи и защите информации — у них на сайте все нужные законы и положения легко найти.
ОБНВ: Как я упоминал, мое исследование было поверхностным. Мне подсказали, что физическое лицо не есть «субъектом хозяйствования», что изменяет картину. Тогда получается, что права физического лица на использование средств криптозащиты в личных целях, не связанных с ведением хозяйственной деятельности, фактивчески явно не регламентировано законом (за исключением нормы импорта средств криптозащиты).
Вышеперечисленные лицензионные ограничения на использование КЗИ относятся к субъектам хозяйственной деятельности. Таким образом физлица имеют возможность использовать криптозащиту в личных целях. но должны отдавать себе отчет в том, что если их деятельность попадет под определение «хозяйственной деятельности», то ограничения будут применимы к ним.
Более детальное изучение законодательной базы не обнаружило порядка использования криптозащиты для физлиц. Прошу прощение, что ввел читателей в заблуждение
Спасибо Рустам.