Інформаційні системи і технології в банках – Страхарчук А. Я. – 7.5. СУЧАСНИЙ СТАН ПРАВОВОГО ЗАБЕЗПЕЧЕННЯ ЕЛЕКТРОННИХ БАНКІВСЬКИХ ПОСЛУГ В УКРАЇНІ

На пострадянському просторі становлення електронного бізнесу збіглося з процесом загальної модернізації правових систем пострадянських країн. Однак відносини між учасниками електронного бізнесу лише на початку нового тисячоліття почали регулювати спеціальними законами або іншими джерелами права. На практиці створюють і постійно модифікують різні угоди про електронний обмін даними або про електронний документообіг, які певною мірою відповідають чинному законодавству. Водночас нерозвинутість і фрагментарність правових норм порушують електронну форму бізнесу” є перешкодою в її інтеграції до глобального електронного ринку. Позбутися таких перешкод можна шляхом установлення оптимального співвідношення норм адміністративного і приватного права щодо електронного бізнесу, введення в дію низки нових законів.

Досягнення інформаційної безпеки електронного бізнесу – це один зі стратегічно важливих напрямів національної безпеки держави. Розробка національної нормативної бази, її гармонізація з міжнародними інституціями, тобто приведення відносин у сфері інформаційної безпеки у відповідність світовим стандартам і нормам, сприятимуть зміцненню національної безпеки України та підвищенню ЇЇ міжнародного авторитету як демократичної і правової держави.

Для правового забезпечення функціонування електронних систем в Україні створено Національне агентство з питань інформатизації при Президентові України та затверджено Закони України: “Про Національну програму інформатизації” (№ 74/98-ВР від 04.02.98), “Про концепцію Національної програми інформатизації” (№ 75/98-ВР від 04.02.98), “Про інформацію”, “Про науково-технічну інформацію”, “Про захист інформації в автоматизованих системах” (від 05.07.2004), “Про платіжні системи та переказ грошей в Україні” (від 05.04.2001), “Про електронні документи та електронний обіг” (від 22.05.2003), “Про електронний цифровий підпис” (від 22.05.2003), видано Укази Президента, положення та інструкції.

Водночас лише один документ присвячено самій глобальній мережі Internet Це Указ Президента № 928/2000 “Про заходи щодо розвитку національної складової глобальної інформаційної мережі Internet та забезпечення широкого доступу до цієї мережі в Україні” від 31 липня 2000 року. Він має декларативний характер, але при цьому визначає основні напрями правового регулювання Internet у нашій країні. Документ передбачає вдосконалення правового регулювання та забезпечення державної підтримки розвитку інфраструктури надання інформаційних послуг через мережу Internet створення умов для розвитку підприємницької діяльності та конкуренції в галузі використання каналів електронного зв’язку, розвитку та впровадження комп’ютерних інформаційних технологій у системі державного управління, фінансовій сфері, підприємницькій діяльності, освіті тощо.

У 2000 році Національний банк України розробив проект “Вимог щодо організації електронної комерції в Україні”, яким, зокрема, урегульовував питання організації електронних магазинів, формування і виконання електронних замовлень, оплату замовлень за допомогою різних платіжних інструментів, включаючи банківські картки, системи типу Клієнт – Банк та Організацію банківського обслуговування за допомогою нових технологій. У коментарях до нього зазначено, що брак правового поля впливає негативно на ті початкові кроки в розвитку електронної комерції, які вже зроблено в Україні. Для запобігання порушенням грошового обігу в зазначеному проекті передбачається, що всі операції купівлі-продажу в електронній комерції повинні виконуватися через банківські рахунки торговця і покупця, що дасть можливість чітко визначати учасників електронної комерції. Для того щоб електронний документообіг можна було ефективно застосовувати, законодавство має містити певні правові норми, що сприяють використанню комп’ютерних технологій під час здійснення угод та інших юридично важливих дій.

З метою реалізації цього завдання Міжвідомча робоча група з питань спрощення і модернізації процедур в управлінні, торгівлі та на транспорті Міністерства економіки за участі представників Робочої групи Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України у листопаді 2000 року розробила проекти Законів України “Про електронні документи та електронний документообіг” та “Про електронний цифровий підпис”.

З 1 січня 2004 року ці закони набрали чинності. Закон “Про електронно-цифровий підпис” визначає правовий статус електронного цифрового підпису (ЕЦП) та регулює відносини, що виникають під час використання електронного цифрового підпису. Дія цього Закону не поширюється на відносини, що виникають під час використання інших видів електронного підпису, у тому числі переведеного у цифрову форму зображення власноручного підпису. Щодо Закону “Про електронні документи та електронний документообіг”, то він покликаний визначити особливості використання обміну електронними повідомленнями під час здійснення угод у цивільному обороті. Ці Закони доповнено такими важливими нормативно-правовими актами, як Порядок сертифікації центру сертифікаційних ключів, затверджений постановою № 903 Кабінету Міністрів України від ІЗ липня 2004 року, та Порядок

Засвідчення наявності електронного документа (електронних даних) на певний проміжок часу, затверджений постановою № 680 Кабінету Міністрів від 26 травня 2004 року.

Відповідно до Закону “Про електронний цифровий підпис” електронний цифровий підпис за правовим статусом прирівнюється до власноручного підпису (печатки) у разі, якщо електронний цифровий підпис підтверджено з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису. Електронний підпис не може бути визнаний недійсним лише через те, що він має електронну форму. Нотаріальні дії із засвідчення справжності електронного цифрового підпису на електронних документах вчиняються відповідно до порядку, встановленого законом.

Захист прав споживачів послуг електронного цифрового підпису, а також механізм реалізації захисту цих прав урегульовано цим Законом та Законом України “Про захист прав споживачів” (1023-12). У разі, коли, відповідно до законодавства, потрібне засвідчення дійсності підпису на документах та відповідності копій документів оригіналам печаткою, на електронний документ накладається ще один електронний цифровий підпис юридичної особи, спеціально призначений для таких цілей.

Відповідно до Закону “Про електронний цифровий підпису порядок застосування цифрового підпису в банківській діяльності визначається Національним банком України.

Розглянемо основні поняття правових відносин у сфері послуг електронного цифрового підпису.

Сертифікат відкритого ключа – це документ, виданий центром сертифікації ключів, який засвідчує чинність і належність відкритого ключа підписувачеві. Сертифікати ключів можна розповсюджувати в електронній формі або у формі документа на папері та використовувати для ідентифікації особи підписувана. Вони містять такі обов’язкові дані, як найменування та реквізити центру сертифікації ключів (центрального засвідчувального органу, засвідчувального центру), зазначення, що сертифікат виданий в Україні, унікальний реєстраційний номер сертифіката ключа, основні дані (реквізити) підписувача – власника особистого ключа, дату та час початку і закінчення строку чинності сертифіката, відкритий ключ, найменування криптографічного алгоритму, що використовується власником особистого ключа, інформацію про обмеження використання підпису. Інші дані можна вносити в посилений сертифікат ключа на вимогу його власника.

Підписувач має право вимагати скасування, блокування або поновлення свого сертифіката ключа; оскаржити дії чи бездіяльність центру сертифікації ключів у судовому порядку. Підписувач зобов’язаний зберігати особистий ключ у таємниці; надавати центру сертифікації ключів дані згідно з вимогами для засвідчення чинності відкритого ключа; своєчасно надавати центру сертифікації ключів інформацію про зміну даних, відображених у сертифікаті ключа.

Центром сертифікації ключів може бути юридична особа незалежно від форми власності або фізична особа, яка є суб’єктом підприємницької діяльності, що дає послуги електронного цифрового підпису та засвідчила свій відкритий ключ у центральному засвідчувальному органі або засвідчувальному центрі. Обслуговування фізичних та юридичних осіб здійснюється центром сертифікації ключів на договірних засадах.

Центр сертифікації ключів має право надавати послуги електронного цифрового підпису та обслуговувати сертифікати ключів. При цьому центр сертифікації ключів зобов’язаний забезпечувати захист інформації в автоматизованих системах відповідно до законодавства, забезпечувати захист персональних даних, отриманих від підписувача, згідно із законодавством тощо. Зберігання особистих ключів підписувачів та ознайомлення з ними в центрі сертифікації ключів заборонено.

Для забезпечення реєстрації, засвідчення чинності відкритих ключів та акредитації групи центрів сертифікації ключів, які надають послуги електронного цифрового підпису цьому органу і підпорядкованим йому підприємствам, установам та організаціям, Кабінет Міністрів України в разі потреби визначає засвідчувальний центр центрального органу виконавчої впади.

Засвідчувальний центр щодо групи центрів сертифікації ключів має ті самі функції і повноваження, що й центральний засвідчувальний орган щодо центрів. Згідно із законом засвідчувальний центр реєструється, засвідчує свій відкритий ключ і акредитується в центральному засвідчувальному органі.

Функції органу контролю здійснює спеціально уповноважений центральний орган виконавчої влади у сфері криптографічного захисту інформації. До його функцій належить перевірка дотримання вимог Закону “Про електронний цифровий підпис” центральним засвідчувальним органом, за-свідчувальними центрами та центрами сертифікації ключів. У разі невиконання або неналежного виконання обов’язків та виявлення порушень вимог, установлених законодавством для центру сертифікації ключів, засвідчувального центру, орган контролю дає розпорядження центральному засвідчувальному органу про негайне вжиття заходів, передбачених законом.

Іноземні сертифікати ключів, засвідчені відповідно до законодавства тих держав, де вони видані, визнаються в Україні чинними в порядку, установленому законом. Якщо міжнародним договором, згода на обов’язковість якого надана Верховною Радою України, встановлено інші правила, ніж ті, що передбачені Законом “Про електронний цифровий підпис”, застосовуються правила міжнародного договору.

Зазначені вітчизняні закони були розроблені з урахуванням вимог європейського законодавства, зокрема, за основу проекту Закону “Про електронний цифровий підпис” було взято загальну концепцію директиви Європейського Союзу (Директива Європейського парламенту і Ради від 13 грудня 1999 року № 1999/93/ЄС “Про політику ЄС щодо електронних підписів”). Цей документ створює правові передумови для широкого використання електронного підпису в країнах Європейського Союзу. Відповідно до цієї директиви країни-учасниці повинні в законодавчій формі визнати правомірність використання електронного підпису як доказу під час судового розгляду.

Законодавчі акти України загалом відповідають закордонним проектам і вже прийнятим законам, однак потребують конкретизації, зокрема щодо функцій електронного цифрового підпису тощо. Водночас потрібно забезпечити їхній зв’язок із загальним законодавством України. Украй необхідні також роз’яснювальні документи щодо сертифікації криптозасобів. Однозначно” що порядок сертифікації має бути єдиний (за винятком особливих випадків, що стосуються, наприклад, засобів криптозахисту для спецслужб) і означати державний дозвіл використовувати криптозасоби для позначених завдань.

Національний банк України також приймає відповідні правові акти з функціонування електронного банківського бізнесу, врегульовуючи цю сферу діяльності своїми нормативними актами. Окрім того, Національний банк України дає банкам бібліотеки захисту, що забезпечуватимуть виконання функцій захисту інформації з боку покупця і торговця.

У телеграмі № 48-012/29-192 від 10 січня 2006 року, яку НБУ розповсюдив з метою попередження банків про небезпеку “відмивання” брудних грошей клієнтами Internet-bankings фінансистам рекомендовано ретельніше контролювати своїх віртуальних клієнтів. Національний банк України радить банкам систематично перевіряти своїх клієнтів на дотримання вимог щодо захисту інформації та обробки електронних платіжних документів, оскільки Internet-banking частіше, ніж інші способи переказування коштів, використовується для “відмивання” брудних грошей. У телеграмі НБУ наголошується на тому, що банкам слід особливу увагу приділяти тим Internet-клієнтам, які часто змінюють характер своїх операцій або контрагентів за такими операціями, проводять операції, що не мають очевидного економічного змісту. Окрім того, банки отримали право “відмовлятись від виконання фінансових операцій у разі встановлення, що ці операції мають ознаки таких, що підлягають фінансовому моніторингу”, – наголошується в телеграмі НБУ. Тою ж телеграмою НБУ рекомендує банкам установити для розрахунків в Internet-banking додаткові канали зворотного зв’язку, а також зобов’язати своїх клієнтів щодня отримувати інформацію про стан своїх рахунків. Для виконання нових вимог НБУ банкіри будуть змушені переукласти всі свої угоди з клієнтами на надання послуг через Internet

За умов розбудови інформаційного простору України і входження до світового інформаційного простору, надзвичайної гостроти та актуальності набувають питання правового забезпечення інформаційної безпеки в інформаційно-телекомунікаційних системах країни. Особливе занепокоєння викликає практично стихійний розвиток та використання мережі Internet, що створює сприятливі передумови для використання її можливостей злочинними угрупованнями.

Аналіз стану захисту інформації в інформаційних системах України свідчить, що появі загроз для інформації під час її обробки в інформаційних системах сприяють такі фактори:

– намагання комерційних та окремих державних структур безконтрольно, не скоординовано, створювати виділені або корпоративні телекомунікаційні системи;

– здійснення інвестиційної політики в галузі інформатизації та телекомунікацій здебільшого без ретельного аналізу її наслідків, а також без урахування інтересів державної безпеки та оборони;

– використання в інформаційних системах несертифікованого обладнання та програмного забезпечення;

– недооцінка значущості захисту інформації та недостатньо розвинута система підготовки і перепідготовки кадрів у сфері інформаційної безпеки;

– брак чітко сформульованого і систематизованого законодавства з питань захисту і безпеки.

Банківські служби безпеки в Україні суттєву увагу сьогодні приділяють питанням фізичного захисту. Питання ж комп’ютерної безпеки залишаються в компетенції служб супроводження і впровадження програмного забезпечення. Кваліфікованих розробників програмного забезпечення і системних програмістів у таких службах досить багато, але фахівців у сфері систем комп’ютерної безпеки практично немає. Саме тому невід’ємною складовою державної політики, спрямованої на захист інформаційних ресурсів держави та захист інформації з обмеженим доступом, охорона якої передбачена законодавством, має стати підготовка фахівців у сфері захисту інформації та інформаційної безпеки, як складової інфраструктури інформатизації галузей національної економіки.

Система підготовки національних кадрів для роботи у сфері інформаційного захисту в Україні та її правова підтримка потребують негайного вдосконалення. Підготовку і перепідготовку фахівців із питань технічного захисту інформації вищі навчальні заклади України до середини 1990-х років не проводили. За відповідним фахом у деяких ВНЗ України навчання почалося тільки після створення Державної служби з питань технічного захисту інформації. Підготовка фахівців має грунтуватися на системному підході, що дозволяє структурувати і порівнювати різні технічні, природничо-наукові та інші фахи і спеціалізації у сфері інформаційної безпеки залежно від того, за яким призначенням будуть у майбутньому працювати випускники. При цьому слід ураховувати дефіцит науково-педагогічних кадрів для вищих навчальних закладів і науково-дослідних установ. Завдання підготовки висококваліфікованих фахівців треба вирішувати в межах системи підготовки, перепідготовки і підвищення кваліфікації у сфері інформаційної безпеки та захисту інформації, що сьогодні в Україні лише формується.

Організаційні роботи в Україні щодо підготовки і перепідготовки кадрів з інформаційної безпеки в цьому напрямі здійснюються розрізнено і не відповідають вимогам сьогодення. Міністерство освіти і науки України повинно координувати діяльність ВНЗ, що ведуть підготовку з інформаційної безпеки для створення цілісної системи освіти. Це дозволить об’єднати й активізувати діяльність ВНЗ і зацікавлених міністерств та відомств з підготовки і перепідготовки фахівців з інформаційної безпеки.

Підготовка кадрів та розробка засобів захисту інформації, захищених засобів зв’язку та інформатизації перетинаються. Якщо залучення фахівців-розробників для забезпечення навчального процесу у ВНЗ дозволить підвищити його якість, то рівень професійної підготовки студентів-випускників дозволить здійснити якісний стрибок у створенні спеціальної техніки нового рівня для захисту інформації.

Отже, з метою протидії злочинам у сфері комп’ютерної інформації або зменшення збитків від них потрібно:

– грамотно вибирати заходи і засоби забезпечення захисту інформації від просочування та несанкціонованого доступу до неї;

– знати основні законодавчі положення в цій галузі, організаційні, програмно-технічні та інші заходи забезпечення безпеки інформації;

– установлювати програмні продукти на підприємстві (організації) з низьким рівнем безпеки інформації, застосовуючи серйозні заходи організаційного і технічного характеру для досягнення належного рівня захищеності інформації;

– кваліфіковано підходити до побудови системи захисту інформації в банківських інформаційних системах, передбачаючи конкретну оцінку ймовірності виявлення кожної загрози на конкретній банківській системі;

– кожному банку, залежно від конкретних умов його роботи, потрібна персональна система захисту інформації. Побудова такої системи можлива лише на аудиторських умовах спеціально залученими фахівцями і фірмами, що мають ліцензію на вказаний вид діяльності.

Реалізація вищезазначених заходів дасть змогу прискорити та ефективно розв’язати проблему підвищення рівня інформаційної безпеки в інтересах особи, суспільства, держави.

Для успішного розвитку систем Internet-banking в Україні, крім упровадження їх у банках, необхідне адекватне тлумачення таких операцій відповідними контрольними і наглядовими відомствами – НБУ, ПФ, ДПА, СБУ та іншими учасниками регулювання безготівкових розрахунків в Україні. Інакше через правовий вакуум у сфері Internet в українському законодавстві банки не візьмуть на себе ризику ведення свого бізнесу через глобальну мережу.

Питання для самоконтролю

1. Дайте визначення технології Home-banking. Які основні етапи її розвитку?

2. Які види PC-banking ви можете назвати?

3. Дайте характеристику технології “Класичний Клієнт – Банк”.

4. Охарактеризуйте поняття Electronic-banking. Назвіть найбільш поширені види послуг Electronic-banking.

5. Дайте визначення Internet-banking. Які основні напрями застосування цієї технології?

6. Які основні види послуг Internet-banking ви можете назвати?

7. Які базові типи систем Internet-banking сьогодні використовують на ринку дистанційних банківських послуг?

8. Охарактеризуйте основні функціональні компоненти технології Internet-banking. Охарактеризуйте стандартний перелік операцій, доступних клієнтові банку через мережу Internet.

9. Яке функціональне призначення Internet-картки?

10. Які програмні засоби та обладнання входять до складу Internet-banking.

11. Як підключитись до системи Internet-banking?

12. Які кроки передбачає процедура попередньої та остаточної реєстрації в системі Internet-banking7.

13. Охарактеризуйте основні відмінності технологій Internet-banking та PC-banking7.

14. Дайте порівняльну характеристику технологій дистанційного банківського обслуговування Internet-banking та Mobil-banking.

15. Охарактеризуйте технологію та основні види послуг ДБО – WAP-banking.

16. Охарактеризуйте технологію та основні види послуг ДБО – SMS-banking.

17. Якими засобами та методами забезпечується інформаційна безпека в системі ДБО7 Роль електронного цифрового підпису.

18. Що ви розумієте під електронним цифровим підписом?

19. Дайте характеристику світових тенденцій розвитку Internet-технологій у банківському бізнесі. Назвіть переваги їх застосування.

20. Охарактеризуйте основні етапи та напрями розвитку технологій Internet-banking в Україні.

21. Назвіть українські банки – лідери у сфері надання електронних банківських послуг.

22. Яке основне функціональне призначення НСМЕП?

23. Дайте характеристику функціональних можливостей Internet – термінала НСМЕП.

24. Яка роль системи Interplat як технології Internet-banking?

25. Які основні етапи здійснення розрахунків у НСМЕП?

26. Яка технологія надання банківських послуг у НСМЕГП?

27. Дайте характеристику сучасного стану правового забезпечення електронних банківських технологій в Україні.

28. Які основні правові акти регламентують функціонування систем Internet-banking в Україні? Яка роль Закону “Про електронний цифровий підпис” у розвитку банківських електронних послуг?


1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5,00 out of 5)

Інформаційні системи і технології в банках – Страхарчук А. Я. – 7.5. СУЧАСНИЙ СТАН ПРАВОВОГО ЗАБЕЗПЕЧЕННЯ ЕЛЕКТРОННИХ БАНКІВСЬКИХ ПОСЛУГ В УКРАЇНІ