Юридические вопросы
Политика США в области использования и распространения криптографии контролируется президентом (статья 22, раздел 2778). До начала бурного развития электронной торговли правила международной торговли оружием (ITAR – International Traffic in Arms Regulations) ограничивали как применение шифрования в Соединенных Штатах, так и экспорт технологий шифрования. Поскольку среда электронной торговли изменилась, на администрацию президента начали оказывать давление с целью добиться изменения политики в данном вопросе. Конгресс поддержал общественное мнение принятием различных указов, смягчающих законодательство в этой области.
Начиная с 1996 года, администрация Клинтона стала смягчать законодательство в этой области. После передачи в декабре 1996 года полномочий проведения этой политики Бюро по экспорту (ВХА) Управления торговли первым достижением стало то, что пользователи смогли загружать Web-браузеры с использованием более мощных средств шифрования. Что касается бизнеса, то необходимы были дальнейшие изменения законодательства для упрощения экспорта криптографических технологий, особенно в тех случаях, когда крупные организации пытались создавать виртуальные частные сети, к которым подключались и заокеанские офисы. Изменения были также необходимы для упрощения лицензирования и процессов предоставления льгот.
Изменения в администрации
Когда писалась эта книга, шел первый год правления Джорджа Буша. До сих пор президент Буш не разрабатывал никаких правительственных постановлений, которые изменили бы проводимую политику в области шифрования. Однако, это не означает, что его администрация не будет заниматься данными вопросами. Ситуация стала еще более проблематичной в результате террористических атак 11 сентября 2001 года. Конгресс начал рассматривать некоторые постановления, которые могли изменить общую политику в отношении шифрования. В организации необходимо иметь кого-то, кто будет отслеживать потенциальные изменения законодательной политики, поскольку эти изменения будут отражаться и на правилах информационной безопасности организации.
В зависимости от требований организации следует определить, что можно использовать: экспорт или трансферт. Если деловая деятельность не распространяется за пределы страны, то Соединенные Штаты разрешают использовать любой тип шифрования без каких-либо ограничений (см. "Вопросы обязательств"). Однако, в некоторых странах введены ограничения на использование шифрования в пределах их границ. Прежде чем разрабатывать правила, необходимо изучить законы, связанные с шифрованием, тех стран, в которых планируется применять шифрование.
Международные правила применения шифрования
Международные вопросы становятся еще более запутанными, когда необходимо разобраться с нормативами "Вассенаарского соглашения" (WA – Wassenaar Arrangement) и с тем, как различные страны применяют на практике эти нормативы. WA является международным многосторонним соглашением, в котором определены меры контроля над экспортом для типов вооружений, ограниченных в ITAR. Переговоры, касающиеся WA, велись среди 33 постоянных членов организации (см. рис. 9.1, представляющий список участников), чтобы определить меры контроля над экспортом, за обменом идеями и информацией, а также за распространением технологий по всему миру. Это соглашение, подписанное в 1996 году Координационным комитетом по контролю над экспортом (СОСОМ – Coordinating Committee on Export Controls), является международной рекомендацией для подписавшихся сторон, а не договором.
Несмотря на то, что WA не является обязательным для исполнения, страны-участники разработали постановления на основе большей части данных рекомендаций. Это не упростило экспорт продукции в страны-участницы. Наоборот, по причине того, что эти рекомендации не являются обязательными, появились спорные вопросы различной степени сложности. Например, Австралия и Япония с довольно небрежной политикой в отношении множества постановлений WA подвергаются давлению с требованием обновить свои постановления и руководящие документы.
Новая экономика электронной торговли в различных странах базируется на законах, имеющих различный уровень согласованности с политикой, проводимой WA. Соблазн захватить новые рынки с целью увеличить поступления в государственный бюджет является для некоторых стран стимулом для нарушения собственного законодательства. Некоторые страны руководствуются совершенно запутанным законодательством, лелея поднять индустриальный потенциал своей страны. Однако, в вопросах ограничений импорта эти страны, как известно, проводят очень твердую политику. Такая дихотомия беспокоит государственный департамент Соединенных Штатов, который приглашает секретариат WA в качестве посредника на переговоры.
В результате подписанного участниками WA соглашения и принятия ВХА нового законодательства внутренний рынок шифровальной продукции стал более открытым. Однако, остаются проблемы в отношениях со странами, которые не являются членами WA и получают лицензии на экспорт в ВХА.
Семь исключений в политике шифрования США
Независимо от того, что законы в отношении экспорта стали очень мягкими, США продолжают проводить политику жестких ограничений экспорта и использования криптографии в отношении тех стран, которые государственный Департамент США считает врагами Соединенных Штатов или поддерживающими терроризм. В список таких стран входят Куба, Иран, Ирак, Ливия, Северная Корея, Сирия и Судан.
Вопросы обязательств
Чтобы окончательно запутаться в этом вопросе, можно поинтересоваться законодательными актами, касающимися использования шифрования, даже если оно используется внутри страны. Первое беспокойство возникает, когда правоохранительные органы получают указание обнаружить системы вашей организации или проконтролировать зашифрованные сетевые пересылки. В таких случаях правоохранительные органы, чтобы выполнить порученную работу, будут выдвигать требования раскрыть алгоритмы шифрования и передать ключи. Кроме того, предполагается, что данные шифруются для того, чтобы скрыть их от посторонних глаз, и используемые ключи тоже должны оставаться засекреченными даже в том случае, когда их передают правоохранительным органам.
Несмотря на то, что по закону это не требуется, некоторые организации не отказываются участвовать в процедурах раскрытия ключей или их изъятия для того, чтобы позволить правоохранительным органам проводить расследования в соответствии с законом. Раскрытие или изъятие ключей является очень спорной темой и не рассматривается в настоящей книге. Однако, если ваша работа затрагивает интересы федерального правительства, то стоит позаботиться о разработке правил раскрытия или изъятия ключей в качестве этапа реализации вашей производственной программы.