p align="left">Порядок обліку, зберігання і використання інших видів печаток, штампів і бланків суворої звітності визначається відповідними відомчими інструкціями. Контроль за їх виготовленням, зберіганням та використанням покладається на канцелярії організацій та осіб, відповідальних за діловодство.

Особи, що персонально відповідають за облік і зберігання печаток, штампів і бланків, призначаються наказами керівників організацій.

Облік печаток, штампів і бланків ведеться у журналі за встановленою формою. Видача бланків відповідальним за їх використання особам здійснюється під розписку у відповідних журналах. Журнали обліку печаток, штампів і бланків включаються у номенклатуру справ, їх аркуші нумеруються, прошиваються і опечатуються. Печатки і штампи повинні зберігатися у сейфах або металевих шафах. Бланки дозволяється зберігати у шафах, що надійно замикаються та опечатуються.

На бланках посвідчень особи, посвідчень про відрядження, усіх видів перепусток, документів про освіту, документів, що дають право на інспектування, нагляд або відвідання організацій, друкарським способом або нумератором проставляються порядкові номери на всіх частинах (сторінках) цих бланків.

Печатки і штампи, виготовлені з дозволу органів МВС, здаються для знищення цим органам за місцезнаходженням організацій. Перевірка наявності печаток, штампів і бланків здійснюється щорічно комісією, призначеною наказом керівника організації. Про перевірки наявності печаток, штампів і бланків робляться відмітки у журналах обліку за встановленими формами після останнього запису. У разі порушення правил обліку, зберігання і використання печаток, штампів і бланків комісія проводить службове розслідування, результати якого оформляються актом довільної форми та доводяться до відома керівника організації.

У разі втрати печаток і штампів керівники організацій зобов'язані негайно повідомити про це органи МВС та вжити заходів для їх розшуку.

4. Центральний орган державної влади, функції якого пов'язані із захистом конфіденційної інформації, що є власністю держави

Врегулювання питань, пов'язаних з обігом конфіденційної інформації, що є власністю держави, на рівні постанови КМ України не призвело до вирішення даного питання в цілому. Лише 11 травня 2004 року до Закону України "Про інформацію" було внесено зміни, завдяки яким в законодавче поле вписувалися основи правового регулювання конфіденційної інформації, а саме:

доповнено статтю ЗО, згідно з якою інформація, що є власністю держави, і знаходиться в користуванні органів державної влади чи органів місцевого самоврядування, підприємств, установ та організацій усіх форм власності, з метою її збереження може бути відповідно до закону встановлено обмежений доступ -- надано статус конфіденційної. Порядок обліку, зберігання і використання документів та інших носіїв інформації, що містять зазначену інформацію, визначається Кабінетом Міністрів України. Визначено категорії інформації, які не можуть бути віднесені до конфіденційної;

статтю 47 "Відповідальність за порушення законодавства про інформацію доповнено абзацом такого змісту: "порушення порядку обліку, зберігання і використання документів та інших носіїв інформації, які містять конфіденційну інформацію, що є власністю держави".

Одночасно із змінами до Закону України "Про інформацію" було внесено зміни до Кодексу України про адміністративні правопорушення, до Закону України --Про Службу безпеки України".

Аналіз чинного законодавства дозволяє зробити висновок, що СБ України є єдиним правоохоронним органом, який наділений необхідним правовим інструментарієм щодо забезпечення захисту конфіденційної інформації:

- з метою пошуку і фіксації фактичних даних про передачу або збирання відомостей, що становлять конфіденційну інформацію, яка є власністю держави, СБ України уповноважена проводити оперативно-розшукову діяльність;

- до підслідності СБ України віднесено розслідування злочину передбаченого статтею 330 КК України "Передача або збирання відомостей, що становлять конфіденційну інформацію, яка є власністю держави";

уповноважені посадові особи СБ України мають право складати адміністративні протоколи за порушення передбачені статтею 212-5 Кодексу України про адміністративні правопорушення "Порушення порядку обліку, зберігання і використання документів та інших носіїв, які містять конфіденційну інформацію, що є власністю держави";

ДСТСЗІ СБ України (Державну службу спеціального зв'язку та захисту інформації України) наділено контрольно-наглядовими, регулятивними та дозвільно-реєстраційними повноваженнями з технічного та криптографічного захисту конфіденційної інформації, що є власністю держави.

Крім цього, відповідно до Закону України "Про Службу безпеки України" остання зобов'язана брати участь у розробці і здійсненні заходів щодо забезпечення конфіденційної інформації (п. 7 ст. 24). А згідно з Постановою Кабінету Міністрів України від 17.11.2004 р. № 1547 (доповнення до Постанови КМ України від 27 листопада 1998 р. № 1893) СБ України:

контролює обіг документів, які містять конфіденційну інформацію;

погоджує (спільно з Держкомархів України) відомчі інструкції з питань обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які її містять;

про факти втрати документів з грифом "ДСК" або розголошення таких відомостей організації зобов'язані письмово повідомляти СБ України.

Виходячи з зазначеного, Службу безпеки України фактично визнано спеціально уповноваженим органом державної влади у сфері захисту конфіденційної інформації.

Повне розв'язання даної проблеми можливе у разі законодавчого врегулювання основних аспектів захисту конфіденційної інформації.

встановлення строку обмеження доступу до інформації, підстави для зняття такого обмеження;

заходи захисту даної категорії інформації;

порядок доступу до відповідної інформації;

обмеження прав громадян, які обізнані з конфіденційною інформацією (насамперед на її оприлюднення) тощо.

8. Правова регламентація технічного захисту інформації в Україні

Питання лекції:

1. Зміст поняття "технічний захист інформації".

Основні положення законодавства України щодо технічного захисту інформації.

Особливості дозвільного порядку здійснення діяльності з розробки технічних засобів захисту інформації.

Правове регулювання захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах.

Зростання загроз для інформації, спричинене лібералізацією суспільних та міждержавних відносин, кризовим станом економіки, застосуванням технічних засобів оброблення інформації та засобів зв'язку іноземного виробництва, поширенням засобів несанкціонованого доступу до інформації та впливу на неї, визначає необхідність розвитку технічного захисту інформації.

Напрями розвитку технічного захисту інформації обумовлюються необхідністю своєчасного вжиття заходів, адекватних масштабам загроз для інформації, і ґрунтуються на засадах правової демократичної держави відповідно до прав суб'єктів інформаційних відносин на доступ до інформації та її захист.

Ефективне і належне функціонування системи технічного захисту інформації не можливе без чіткого правового регулювання відповідних суспільних відносин. Адже саме право має необхідні засоби і механізми впливу на поведінку суб'єктів відповідних відносин.

У даній лекції розглянуто саме правові основи технічного захисту інформації в Україні.

1. Зміст поняття "технічний захист інформації"

Основи державної політики у сфері захисту інформації інженерно-технічними заходами визначає Концепція технічного захисту інформації в Україні, затверджена Постановою Кабінету Міністрів України від 8 жовтня 1997 р. №1126.

У Концепції зазначено, що технічний захист інформації (далі - ТЗІ) є складовою частиною забезпечення національної безпеки України.

Закон України "Про основи національної безпеки України" дає таке визначення: національна безпека - захищеність життєво важливих інтересів людини і громадянина, суспільства і держави, за якої забезпечуються сталий розвиток суспільства, своєчасне виявлення, запобігання і нейтралізація реальних та потенційних загроз національним інтересам.

Таким чином, технічний захист інформації визнається одним із засобів охорони та захисту життєво важливих інтересів людини і громадянина, суспільства і держави.

Згадана вище Концепція має за мету забезпечити єдність принципів формування і проведення політики технічного захисту інформації в усіх сферах життєдіяльності особи, суспільства та держави (соціальній, політичній, економічній, військовій, екологічній, науково-технологічній, інформаційній тощо) і служити підставою для створення програм розвитку сфери ТЗІ.

Нормативне визначення ТЗІ наступне: це діяльність, спрямована на забезпечення інженерно-технічними заходами порядку доступу, цілісності та доступності (унеможливлення блокування) інформації, яка становить державну та іншу передбачену законом таємницю, конфіденційної інформації, а також цілісності та доступності відкритої інформації, важливої для особи, суспільства і держави. Система ТЗІ - це сукупність суб'єктів, об'єднаних цілями та завданнями захисту інформації інженерно-технічними заходами (далі - організаційні структури), нормативно-правова та матеріально-технічна база.

Принципами формування і проведення державної політики у сфері ТЗІ є:

додержання балансу інтересів особи, суспільства та держави, їх взаємна відповідальність;

єдність підходів до забезпечення ТЗІ, які визначаються загрозами безпеці інформації та режимом доступу до неї;

- комплексність, повнота та безперервність заходів ТЗІ;

відкритість нормативно-правових актів та нормативних документів з питань ТЗІ, які не містять відомостей, що становлять державну таємницю;

узгодженість нормативно-правових актів та нормативних документів з питань ТЗІ з відповідними міжнародними договорами України;

обов'язковість захисту інженерно-технічними заходами інформації, яка становить державну та іншу передбачену законом таємницю, конфіденційної інформації, що є власністю держави, відкритої інформації, важливої для держави, незалежно від того, де зазначена інформація циркулює, а також відкритої інформації, важливої для особи та суспільства, якщо ця інформація циркулює в органах державної влади та органах місцевого самоврядування, Національній академії наук, Збройних Силах, інших військових формуваннях, органах внутрішніх справ, на державних підприємствах, в державних установах і організаціях (далі - державні органи, підприємства, установи і організації);

виконання на власний розсуд суб'єктами інформаційних відносин вимог щодо технічного захисту конфіденційної інформації, що не належить державі, та відкритої інформації, важливої для особи та суспільства, якщо остання циркулює поза межами державних органів, підприємств, установ і організацій;

покладення відповідальності за формування та реалізацію державної політики у сфері ТЗІ на спеціально уповноважений центральний орган виконавчої влади;

ієрархічність побудови організаційних структур системи ТЗІ та керівництво їх діяльністю у межах повноважень, визначених нормативно-правовими актами;

методичне керівництво спеціально уповноваженим центральним органом виконавчої влади у сфері ТЗІ діяльністю організаційних структур системи ТЗІ;

скоординованість дій та розмежування сфер діяльності організаційних структур системи ТЗІ з іншими системами захисту інформації та системами забезпечення інформаційної та національної безпеки;

фінансова забезпеченість системи ТЗІ за рахунок Державного бюджету України, бюджету Автономної Республіки Крим, місцевих бюджетів та інших джерел.

2. Основні положення законодавства України щодо технічного захисту інформації

Правову основу забезпечення ТЗІ в Україні становлять Конституція України, Закон України "Про основи національної безпеки України", Закони України "Про інформацію", "Про захист інформації в автоматизованих системах", "Про державну таємницю", "Про науково-технічну інформацію", інші нормативно-правові акти, а також міжнародні договори України, що стосуються сфери інформаційних відносин.

Структура нормативно-правової бази системи ТЗІ в Україні є наступною.

Закони України, в т.ч. Конституція України і Кримінальний кодекс України (ст. 361, 363), які містять загальні правові норми щодо забезпечення організації діяльності системи ТЗІ в Україні. Вони стосуються правового статусу суб'єктів інформаційних відносин, власників інформації; інформаційної діяльності різноманітних суб'єктів; національної, інформаційної безпеки тощо.

Нормативно-правові акти підзаконного характеру (постанови, укази, накази, розпорядження тощо) Верховної Ради України, Президента України, Кабінету Міністрів України, Служби безпеки України, інших органів державної влади щодо організації діяльності системи ТЗІ в Україні:

ліцензування господарської діяльності в галузі ТЗІ, дозвільного порядку проведення робіт з ТЗІ для власних потреб;

процедур сертифікації, атестації, експертизи, контролю, інспектування в галузі ТЗІ;

порядку і правил побудови, викладення, оформлення, видання та розповсюдження документів з питань ТЗІ;

підготовки, перепідготовки і підвищення кваліфікації фахівців в галузі ТЗІ.

3. Міжвідомчі нормативні документи з питань ТЗІ (державні стандарти, галузеві стандарти, стандарти науково-технічних та інженерних товариств і спілок України, технічні умови України, стандарти підприємств, державні (відомчі) будівельні норми). Це стандарти, які містять положення, вимоги, умови щодо ТЗІ або можуть бути використані для забезпечення ТЗІ.

Порядок розроблення, погодження, затвердження, реєстрації та видання нових, перегляду і скасування чинних міжвідомчих нормативних документів технічного характеру (норми, методики, положення, інструкції тощо) системи технічного, захисту інформації, що не належать до нормативних документів із стандартизації, але є обов'язковими для виконання всіма органами виконавчої влади та місцевого самоврядування, військовими частинами всіх військових формувань, створених відповідно до законодавства, підприємствами, установами й організаціями незалежно від форм власності, діяльність яких пов'язана з технічним захистом інформації, визначається Положенням про порядок розроблення, прийняття, перегляду та скасування міжвідомчих нормативних документів системи технічного захисту інформації, затвердженим Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 7.06.2002 р. № 35. Міжвідомчі нормативні документи з питань ТЗІ призначені для забезпечення конфіденційності, цілісності і доступності інформації в інформаційно-телекомунікаційних системах, автоматизованих системах і на об'єктах інформаційної діяльності.

4. Відомчі документи з питань ТЗІ, що погоджені Державною службою і стосуються досліджень заходів ТЗІ та досліджень їх ефективності.

У сукупності всі ці документи встановлюють основні положення, загальні правила, визначають порядок здійснення різних видів діяльності в сфері ТЗІ, формулюють вимоги до якості послуг і продукції, викладають методичні вказівки по впровадженню заходів захисту і оцінюванню їх ефективності.

3. Особливості дозвільного порядку здійснення діяльності з розробки технічних засобів захисту інформації

Дозвільний порядок здійснення діяльності з розробки технічних засобів захисту інформації визначається Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 29 грудня 1999 р. № 62.

Державна експертиза в сфері технічного захисту інформації (далі -- експертиза) проводиться з метою оцінки захищеності інформації, яка обробляється або циркулює в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, приміщеннях, інженерно-технічних спорудах тощо (далі -- об'єкти інформаційної діяльності), та підготовки обґрунтованих висновків для прийняття відповідних рішень.

Дія зазначеного Положення поширюється на всіх юридичних та фізичних осіб, які належать до числа суб'єктів експертизи.

Суб'єктами експертизи є:

юридичні та фізичні особи, які є замовниками експертизи (далі -- замовники);

Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (Законом України <<Про Державну службу спеціального зв'язку та захисту інформації України" від 23 лютого 2006 року на базі Департаменту спеціальних телекомунікаційних систем та захисту інформації і відповідних підрозділів Служби безпеки України утворено Державну службу спеціального зв'язку та захисту інформації України, далі -- Державна служба), а також підприємства, установи та організації, які проводять експертизу за його дорученням (далі -- організатори);

фізичні особи -- виконавці експертних робіт з технічного захисту інформації (далі -- експерти). Об'єктами експертизи є:

комплексні системи захисту інформації (далі -- КСЗІ), кожна з яких є невід'ємною складовою частиною конкретного об'єкта інформаційної діяльності і поєднує організаційні та інженерні заходи, програмні й технічні засоби, призначені для попередження навмисних чи ненавмисних дій щодо блокування інформації, порушення її цілісності або конфіденційності;

окремі технічні та програмні засоби, які реалізують функції технічного захисту інформації (далі -- засоби забезпечення технічного захисту інформації, ЗТЗІ).

КСЗІ на об'єктах інформаційної діяльності, де обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, підлягають експертизі в обов'язковому порядку.

Експертиза може бути первинною та контрольною.

Первинна експертиза є основним видом експертизи і передбачає виконання всіх потрібних заходів для підготовки та прийняття рішення щодо об'єкта експертизи.

Контрольна експертиза провадиться іншим організатором: з ініціативи замовника, за наявності в нього обґрунтованих претензій до висновку первинної експертизи, або з ініціативи Державної служби -- для перевірки висновків первинної експертизи.

Державна служба для організації та проведення експертизи:

- розробляє необхідні нормативно-правові аьсги та нормативні документи, що забезпечують проведення експертизи, інформує організаторів та експертів про введення їх у дію;

- формує Реєстри організаторів та експертів;

реєструє заяви на проведення експертизи та надає замовникові консультації з процедурних питань;

приймає рішення щодо можливості й доцільності проведення та організації експертизи, зокрема -- контрольної;

реєструє, видає, призупиняє дію або анулює документи, що засвідчують рішення щодо можливості використання ЗТЗІ чи відповідності КСЗІ вимогам нормативних документів з технічного захисту інформації;

здійснює контроль за дотриманням тих вимог експлуатації об'єкта експертизи, недотримання яких впливає на захищеність інформації.

Замовник експертизи має право:

використовувати без обмежень висновки, результати і матеріали експертизи у своїй діяльності, якщо іншого не передбачено договором на проведення експертизи;

заявляти клопотання про потребу проведення контрольної експертизи - брати, за погодженням з організатором, участь у проведенні експертних робіт.

Замовник експертизи зобов'язаний:

сприяти організатору в проведенні всебічного комплексного дослідження об'єкта експертизи, виробленні експертної оцінки;

передавати в установлені договором терміни організатору потрібні матеріали, розрахунки, дані, додаткові відомості, що стосуються об'єкта експертизи, та надавати потрібне обладнання.

Результати, матеріали, висновки експертизи та створене або придбане за кошти замовника матеріально-технічне забезпечення є його власністю, якщо іншого не передбачено договором між замовником і організатором.

Організатор експертизи має право:

здійснювати всі потрібні заходи з метою організації та проведення експертизи відповідно до положень договору із замовником;

готувати пропозиції щодо включення (виключення) фахівців з питань технічного захисту інформації до (з) Реєстру експертів;

готувати пропозиції щодо розроблення та розробляти проекти нормативних документів з питань проведення експертизи.

Організатор експертизи зобов'язаний:

забезпечувати неупереджене, об'єктивне та своєчасне проведення експертизи;

за залучення Державною службою -- розглядати проекти нормативних документів щодо виконання експертних робіт і надавати змістовні, обґрунтовані пропозиції та зауваження;

створювати умови, які б забезпечували виконання вимог до конфіденційності проведення експертизи, якщо це передбачено договором.

Експерт має право:

вільно викладати в документах з експертизи особисту думку з питань експертизи, а також -- особливі думки відносно результатів виконання робіт;

вимагати від організатора надання достовірних відомостей, матеріалів та інженерно-технічного забезпечення, потрібних для виконання експертних робіт та підготовки висновків;

вносити пропозиції щодо вдосконалення форм і методів проведення експертизи.

Експерт зобов'язаний:

- об'єктивно, неупереджено та своєчасно виконувати експертні роботи;

не допускати розголошення інформації, яка міститься у матеріалах та висновках експертизи;

пред'являти на вимогу замовника документи, які підтверджують його досвід та рівень кваліфікації.

Положення про державну експертизу в сфері технічного захисту інформації, затверджене Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 29 грудня 1999 р. № 62 визначає також порядок організації та проведення експертизи.

З метою координації заходів та прийняття рішень щодо проведення експертиз при Державній службі створюється Експертна рада з питань державної експертизи в сфері технічного захисту інформації (далі -- Експертна рада).

Для проведення експертизи замовник надсилає на ім'я керівника Державної служби у двох примірниках з копією на магнітному носії заяву про проведення експертизи комплексної системи захисту інформації об'єкта інформаційної діяльності або заяву про проведення експертизи засобу технічного захисту інформації.

За результатами розгляду заяви Експертна рада у місячний термін приймає рішення про доцільність проведення експертизи та визначає її організатора. У разі наявності у замовника обґрунтованих претензій щодо результатів або порядку проведення експертизи він може звернутися із заявою на ім'я керівника Державної служби про проведення контрольної експертизи.

Основним юридичним документом, що регламентує відносини між замовником і організатором, є договір на проведення експертизи. Порядок фінансування експертизи визначається відповідно до законодавства України, а оплата витрат на проведення експертизи, оплата праці експертів та послуг організаторів здійснюється на підставі договору. Термін проведення експертизи визначається договором і не повинен перевищувати шести місяців. Збільшення терміну проведення експертизи допускається лише за узгодженням з Державної службою у випадку значного обсягу експертних робіт. Питання оплати контрольної експертизи визначається у договорі на проведення експертизи.

Список експертів, які залучаються до виконання експертних робіт під час проведення конкретної експертизи, визначається організатором.

Замовник надає організатору визначений нормативними документами системи ТЗІ комплект організаційно-технічної документації на об'єкт експертизи. Організатор, за результатами аналізу наданих документів і з урахуванням загальних методик оцінювання ефективності ЗТЗІ та КСЗІ, формує програму і окремі методики проведення експертизи об'єкта та розробляє, у разі потреби, відповідне програмно-технічне забезпечення.

Терміни розроблення окремої методики та потрібних програмно-апаратних засобів залежать від характеру та складності об'єкта експертизи і визначаються у договорі на проведення експертизи. Під час проведення експертизи кожен експерт виконує тільки доручені організатором роботи, визначені окремою методикою. Результати роботи оформлюються у вигляді протоколу за підписом експертів, які її виконували. Протокол затверджується організатором. Організатор може рекомендувати експерту здійснити лише стилістичне редагування протоколів виконаних робіт без зміни їх змісту.

Узгодження результатів окремих робіт між експертом та організатором, а також внесення змін до протоколів після їх оформлення або поєднання результатів окремих робіт в одному протоколі не дозволяється. У протоколі можуть бути зафіксовані особливі думки експертів щодо результатів виконаних робіт. У разі виявлення невідповідності об'єкта експертизи вимогам нормативних документів системи технічного захисту інформації організатор може запропонувати замовнику виконати доробку об'єкта.

Термін доробки об'єкта експертизи визначається спільним протоколом між замовником та організатором. Відомості щодо кожної з доробок, а також результати додаткових експертних робіт, оформлюються окремими протоколами. Результати робіт, визначених окремою методикою, узагальнюються організатором в експертному висновку.

Висновки щодо кожного пункту окремої методики, а також особливі думки експертів, зафіксовані в протоколах, включаються до експертного висновку як складові частини, без унесення до них будь-яких змін.

За результатами проведених робіт організатор складає "Експертний висновок" щодо відповідності об'єкта експертизи вимогам нормативних документів системи технічного захисту інформації, підписує його і подає до Державної служби.

Положення про державну експертизу визначає також порядок надання "Експертного висновку" та "Атестата відповідності". "Експертний висновок" розглядається Експертною радою і в разі затвердження результатів експертизи реєструється та видається замовнику.

Наявність позитивного рішення щодо експертизи ЗТЗІ є підставою для включення цього засобу до переліку технічних засобів загального призначення, що дозволені Державною службою для використання з метою технічного захисту інформації.

На підставі позитивного рішення щодо експертизи КСЗІ замовнику видається зареєстрований "Атестат відповідності", який підписується керівником (заступником керівника) Державної служби. Державна служба має право призупинити або анулювати дію "Експертного висновку" та "Атестата відповідності". Порядок призупинення або анулювання дії зазначених документів визначається окремим нормативно-правовим документом системи ТЗІ.

Ліцензійні умови провадження господарської діяльності, пов'язаної з розробленням, виробництвом, впровадженням, обслуговуванням, дослідженням ефективності систем і засобів технічного захисту інформації, наданням послуг у галузі технічного захисту інформації, затверджені спільним Наказом Державного комітету України з питань регуляторної політики та підприємництва, Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 29.12.2000 № 89/67.

Зазначені Ліцензійні умови розроблені з урахуванням вимог Законів України "Про ліцензування певних видів господарської діяльності", "Про інформацію", Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 року № 1229 та інших нормативних актів. Ліцензійні умови визначають кваліфікаційні, організаційні, технологічні та інші вимоги до суб'єктів господарювання, виконання яких є обов'язковою умовою провадження певних видів робіт та надання певних видів послуг у межах господарської діяльності, пов'язаної з розробленням, виробництвом, впровадженням, обслуговуванням, дослідженням ефективності систем і засобів технічного захисту інформації, наданням послуг у галузі технічного захисту інформації (далі -- господарська діяльність у галузі ТЗІ).

В установчих документах суб'єкта господарювання повинно бути передбачено провадження господарської діяльності в галузі ТЗІ. Ліцензування господарської діяльності в галузі ТЗІ провадить Державна служба спеціального зв'язку та захисту інформації України.

У межах господарської діяльності в галузі ТЗІ можуть виконуватися види робіт або надаватися види послуг (далі -- види робіт), які визначаються зазначеними Ліцензійними умовами. У разі, якщо суб'єкт господарювання провадить господарську діяльність у галузі ТЗІ не в повному обсязі, а частково, ліцензійні умови поширюються на нього в частині, що встановлює вимоги до провадження окремих робіт.

Суб'єкт господарювання, який має намір провадити господарську діяльність в галузі ТЗІ та відповідає цим Ліцензійним умовам, подає до Державної служби заяву за встановленою формою про видачу ліцензії.

Ліцензуванню підлягають такі види робіт, які виконуються в межах господарської діяльності з технічного захисту інформації:

розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є акустичні поля, надання консультативних послуг;

розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали, надання консультативних послуг;

розроблення, виробництво, впровадження, дослідження ефективності, супроводження засобів та комплексів технічного захисту інформації в інформаційних системах, інформаційних технологій із захистом інформації від несанкціонованого доступу, надання консультативних послуг;

виявлення та блокування витоку мовної та видової інформації через закладні пристрої на об'єктах інформаційної діяльності, надання консультативних послуг;

виробництво засобів забезпечення технічного захисту інформації, носіями якої є акустичні поля;

виробництво засобів забезпечення технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали;

розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є хімічні речовини, надання консультативних послуг.

Для провадження господарської діяльності в галузі ТЗІ суб'єкт господарювання повинен мати:

- штатних або найманих за договором спеціалістів, які мають повну вищу освіту відповідного професійного спрямування або пройшли перепідготовку та підвищення кваліфікації у галузі інформаційної безпеки чи мають стаж роботи відповідного професійного спрямування не менше 3 років;

нормативно-правові акти з технічного захисту інформації, що забезпечують проведення обраного виду роботи;

власні або орендовані засоби вимірювань і контролю, перелік яких визначається нормативними документами з питань технічного захисту інформації, та (або) засоби електронно-обчислювальної техніки в обсязі, що забезпечує проведення обраного виду роботи;

власну або створену на договірній основі виробничу базу, яка дає змогу виробляти засоби забезпечення технічного захисту інформації згідно з вимогами нормативних документів з питань технічного захисту інформації;

методику виявлення витоку мовної або видової інформації через закладні пристрої на об'єктах інформаційної діяльності (власної розробки з урахуванням апаратурного забезпечення, узгодженої з Державною службою).

Залежно від важливості інформації для особи, суспільства, держави та правового режиму доступу до інформації встановлюються особливі умови провадження господарської діяльності в галузі ТЗІ:

з наданням права технічного захисту інформації усіх видів, у тому числі інформації, що містить відомості, які становлять державну таємницю;

з наданням права технічного захисту інформації, що не містить відомостей, які становлять державну таємницю.

Для провадження господарської діяльності в галузі ТЗІ з наданням права технічного захисту інформації усіх видів, у тому числі інформації, що містить відомості, які становлять державну таємницю, суб'єкт господарювання повинен мати:

дозвіл на здійснення діяльності, пов'язаної з державною таємницею;

оформлені у встановленому порядку допуски до державної таємниці на спеціалістів, що залучаються до виконання робіт, пов'язаних із державною таємницею;

матеріали, які відповідно до компетенції, державних завдань, програм, замовлень, договорів (контрактів) підтверджують, що суб'єкт господарювання передбачає провадити господарську діяльність у галузі ТЗІ, що містить відомості, які становлять державну таємницю;

- приміщення та (або) об'єкти електронно-обчислювальної техніки, атестовані на відповідність вимогам нормативних документів з питань технічного захисту інформації (за потреби).

Виконання робіт із захисту таємної інформації дозволяється в межах терміну дії відповідного дозволу на здійснення діяльності, пов'язаної з державною таємницею. При виконанні робіт на об'єктах інформаційної діяльності, на яких циркулює інформація, що містить відомості, які становлять державну таємницю, а також у державних органах та установах суб'єкт господарювання зобов'язаний:

щорічно (до 20 грудня) надавати відомості до Державної служби щодо змісту виконаних робіт;

терміново (не пізніше наступного дня) інформувати Державну службу про виявлення закладних пристроїв.

4. Правове регулювання захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах

Порядок захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, затверджений Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 24 грудня 2001 р. № 76, визначає основи організації та порядок захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах (далі - ITC). У ньому використовуються наступні поняття: державні інформаційні ресурси - інформація, яка є власністю держави та (або) необхідність захисту якої визначено законодавством;

інформаційно-телекомунікаційна система - організаційно-технічна сукупність, що складається з автоматизованої системи та мережі передачі даних;

дані - інформація, яка передається мережею передачі даних незалежно від способу її фізичного та логічного представлення;

мережа передачі даних - організаційно-технічна система, яка складається з комплексів телекомунікаційного обладнання (вузлів комутації) та реалізує технологію інформаційного обміну з використанням первинної мережі зв'язку оператор мережі передачі даних (вузла комутації) - юридична особа, що здійснює діяльність з надання послуг з передачі даних;

користувач мережі передачі даних - фізична або юридична особа (власник автоматизованої системи), яка користується послугами мережі передачі даних за договором з оператором.

Дія Порядку поширюється на ITC, які обробляють, зберігають, передають державні інформаційні ресурси.

Вимоги Порядку обов'язкові для всіх власників автоматизованих систем, що входять до складу ITC (користувачів мереж передачі даних), а також для підприємств (установ, організацій) усіх форм власності, які є операторами мереж передачі даних (далі -МПД) усіх типів: відомчих, подвійного призначення, загального користування, глобальних (у тому числі Інтернет).

Захист державних інформаційних ресурсів в автоматизованих системах, що входять до складу ITC (далі - автоматизована система, АС), повинен забезпечуватися впровадженням комплексу технічних, криптографічних, організаційних та інших заходів і засобів комплексної системи захисту інформації (далі - КСЗІ), спрямованих на недопущення блокування інформації, несанкціонованого ознайомлення з нею та/або її модифікації.

В АС повинен забезпечуватися захист від несанкціонованого доступу до державних інформаційних ресурсів з боку мереж передачі даних, зокрема глобальних мереж.

Конфіденційність інформації, яка є державними інформаційними ресурсами, під час передавання мережею передачі даних забезпечує власник АС з використанням засобів та заходів з криптографічного захисту інформації або оператор МПД за договором з власником АС.

Основними завданнями підприємств (установ, організацій), які є операторами МПД, щодо забезпечення захисту державних інформаційних ресурсів є:

- створення, упровадження та супроводження КСЗІ в МПД;

- контроль за виконанням користувачами встановленого режиму доступу до державних інформаційних ресурсів та ресурсів МПД, а також правил їх використання.

Захист державних інформаційних ресурсів у МПД повинен забезпечуватися впровадженням на кожному з її вузлів комутації комплексу технічних, криптографічних, організаційних та інших заходів і засобів захисту інформації, спрямованих на недопущення її блокування та/або модифікації.

Організація захисту державних інформаційних ресурсів у МПД покладається на керівника підприємства, яке є оператором МПД.

Права доступу до МПД окремим співробітникам підприємства, яке є оператором МПД, надаються наказом керівника підприємства у відповідності до їх службових обов'язків. При змінах у розподілі службових обов'язків права доступу мають бути своєчасно відкориговані.

Засоби захисту інформації, які використовуються в МПД для забезпечення безпеки державних інформаційних ресурсів, повинні мати сертифікат відповідності або експертний висновок, отримані в установленому порядку.

Сертифікат відповідності надається згідно з Порядком проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення, затвердженим наказом Держстандарту України та ДСТСЗІ СБ України від 9 липня 2001 р. № 329/32 і зареєстрованим у Міністерстві юстиції України 26 липня 2001 р. за № 640/5831, а експертний висновок - згідно з Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом ДСТСЗІ СБ України від 29 грудня 1999 р. № 62 і зареєстрованим у Міністерстві юстиції України 24 січня 2000 р. за № 40/4261.

У разі відсутності на час створення КСЗІ таких документів сертифікація або державна експертиза зазначених засобів на відповідність вимогам із захисту інформації здійснюється під час проведення державної експертизи КСЗІ.

Розроблення, виробництво, впровадження та обслуговування КСЗІ здійснюється оператором МПД самостійно за умови наявності в нього ліцензії на провадження відповідних видів робіт або із залученням інших підприємств-ліцензіатів у галузі захисту інформації.

Для організації робіт із розроблення, виробництва, впровадження та обслуговування КСЗІ, контролю за станом захищеності державних інформаційних ресурсів у МПД наказом керівника підприємства, яке є оператором МПД, визначається відповідальний підрозділ або відповідальна особа.

Контроль за забезпеченням захисту державних інформаційних ресурсів в ITC здійснюється Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України і полягає у перевірці виконання власниками АС та операторами МПД вимог нормативно-правових актів і нормативних документів з технічного та криптографічного захисту інформації.

Власники АС та оператори МПД повинні повідомляти ДСТСЗІ

СБ України про виявлені ними спроби та факти здійснення несанкціонованих дій щодо державних інформаційних ресурсів.

Оператори МПД повинні надавати власнику АС відомості про виявлені ними спроби та факти здійснення несанкціонованих дій в мережах передачі даних щодо інформації, яка йому належить.

9. Правові основи захисту інформації в інформаційно-телекомунікаційних системах

Питання лекції:

Законодавство України про захист інформації в інформаційно-телекомунікаційних системах.

Інформаційно-телекомунікаційні системи. Обробка інформації, несанкціонований доступ, витік інформації.

Відносини між суб'єктами в процесі обробки інформації в інформаційно-телекомунікаційній системі.

Відповідальність за порушення законодавства про захист інформації в інформаційно-телекомунікаційних системах.

Формування концепції захисту інформації в конкретній інформаційно-телекомунікаційній системі.

Інноваційна спрямованість сучасної економічної діяльності, інтеграція до глобальних процесів розвитку інформаційного суспільства потребує відповідного правового забезпечення.

На сьогодні дослідження науковців спрямовуються саме на роз криття новітніх інформаційних процесів та їх правової регламентації. Не є винятком і питання правового регулювання захисту інформації в інформаційно-телекомунікаційних системах.

1. Законодавство України про захист інформації в інформаційно-телекомунікаційних системах

На сьогодні відносини, що виникають з приводу захисту інформації в інформаційно-телекомунікаційних системах, регулюються Законом України "Про захист інформації в автоматизованих системах" від 05.07.94 р. (нова редакція Закону "Про захист інформації в інформаційно-телекомунікаційних системах" від 31 травня 2005 року № 2594-ГУ, набрала чинності з 1 січня 2006 року). Закон регулює відносини у сфері захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі система). Дія зазначеного Закону поширюється на будь-яку інформацію, що обробляється в автоматизованих системах.

Відносини, що виникають з приводу захисту інформації в інформаційно-телекомунікаційних системах, також частково регулюються Законом України "Про електронні документи та електронний документообіг" від 22.05.2003 р. Предметом правового регулювання даного Закону є відносини, що виникають у процесі створення, відправлення, передавання, одержання, зберігання, оброблення, використання та знищення електронних документів.

На сьогодні питання захисту інформації в інформаційно-телекомунікаційних системах окрім Закону України "Про захист інформації в інформаційно-телекомунікаційних системах" та інших законів регулюються також низкою підзаконних нормативно-правових актів.

Кабінет Міністрів України Постановою від 13 березня 2002 р. № 281 уповноважив Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (Законом України "Про Державну службу спеціального зв'язку та захисту інформації України" від 23 лютого 2006 року на базі Департаменту спеціальних телекомунікаційних систем та захисту інформації та відповідних підрозділів Служби безпеки України утворено Державну службу спеціального зв'язку та захисту інформації України) здійснювати управління захистом інформації в автоматизованих системах відповідно до Закону України "Про захист інформації в автоматизованих системах".

Так, наприклад, Кабінет Міністрів України Постановою від 2 серпня 1996 р. № 898 "Про створення Єдиної державної автоматизованої паспортної системи" започаткував створення Єдиної державної автоматизованої паспортної системи (далі - Система), яка забезпечуватиме видачу громадянам паспортів, що оформлюватимуться за єдиною технологією, та облік громадян за місцем проживання із застосуванням комп'ютерної мережі на єдиних принципах їх ідентифікації (із використанням особистих (ідентифікаційних) номерів громадян, відцифрованого образу осіб і біометричної ідентифікації) і взаємодії з базами даних інших інформаційних систем (як вітчизняних, так і іноземних). Передбачалося, що Система входитиме складовою частиною до Державного реєстру фізичних осіб.

Постановою Кабінету Міністрів України від 29 квітня 2004 р. № 573 було затверджено Положення про Головний обчислювальний центр Єдиної державної автоматизованої паспортної системи. Зазначеним Положенням зокрема визначалося, що основними завданнями Головного обчислювального центру є серед інших "впровадження комплексної системи захисту інформації Єдиної державної автоматизованої паспортної системи і здійснення постійного контролю за дотриманням у ній інформаційної безпеки" .

Постанова Кабінету Міністрів України від 16 лютого 1998 р. № 180 "Про затвердження Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах" також регулювала відносини щодо обігу інформації (яка становить державну таємницю) в автоматизованих системах.

Постанова Кабінету Міністрів України від 8 червня 1998 р. № 832 визначала комплекс заходів щодо поетапного впровадження у Пенсійному фонді автоматизованого персоніфікованого обліку відомостей у системі загальнообов'язкового державного пенсійного страхування.

Пам'ятаємо також про створення і функціонування у Центральній виборчій комісії автоматизованої інформаційної системи "Вибори", яка застосовувалась у процесі підготовки і проведення виборів Президента України, народних депутатів України.

Питання функціонування конкретних автоматизованих систем у органах державної влади, як правило, визначаються відомчими нормативно-правовими актами.

Так, наприклад, у Міністерстві фінансів України розроблено Положення про роботу із засобами обчислювальної техніки та про доступ до інформаційних ресурсів Міністерства фінансів України (додаток до наказу Міністерства фінансів України від 01.04.2003 р. № 248).

Наказом МВС України від 02.09.98 р. № 659 затверджено Інструкцію про створення єдиної автоматизованої системи номерного обліку вогнепальної (стрілецької) зброї, яка зберігається й використовується в МВС, на об'єктах дозвільної системи та перебуває в особистому користуванні громадян.

2. Інформаційно-телекомунікаційні системи. Обробка інформації, несанкціонований доступ, витік інформації

Розуміння основних понять, що застосовуються у сфері захисту інформації в інформаційно-телекомунікаційних системах, дає можливість не лише правильно аналізувати суб'єктно-об'єктний склад відповідних правовідносин, а й дозволяє правильно використовувати їх під час усної відповіді і виконання практичних завдань студентами та слухачами. Законом України "Про захист інформації в інформаційно-телекомунікаційних системах" даються такі визначення основних понять:

блокування інформації в системі -- дії, внаслідок яких унеможливлюється доступ до інформації в системі;

виток інформації -- результат дій, внаслідок яких інформація в системі стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї;

власник інформації -- фізична або юридична особа, якій належить право власності на інформаці власник системи -- фізична або юридична особа, якій належить право власності на систему;

доступ до інформації в системі -- отримання користувачем можливості обробляти інформацію в системі;

захист інформації в системі -- діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі;

знищення інформації в системі -- дії, внаслідок яких інформація в системі зникає;

інформаційна (автоматизована) система -- організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;

інформаційно-телекомунікаційна система -- сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдине ціле;

комплексна система захисту інформації -- взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації;

користувач інформації в системі -- фізична або юридична особа, яка в установленому законодавством порядку отримала право доступу до інформації в системі;

криптографічний захист інформації -- вид захисту інформації, що реалізується шляхом перетворення інформації з використанням спеціальних (ключових) даних з метою приховування/віднов-лення змісту інформації, підтвердження її справжності, цілісності, авторства тощо;

несанкціоновані дії щодо інформації в системі -- дії, що провадяться з порушенням порядку доступу до цієї інформації, установленого відповідно до законодавства;

обробка інформації в системі -- виконання однієї або кількох операцій, зокрема: збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрації, приймання, отримання, передавання, які здійснюються в системі за допомогою технічних і програмних засобів;

порушення цілісності інформації в системі -- несанкціоновані дії щодо інформації в системі, внаслідок яких змінюється її вміст;

порядок доступу до інформації в системі -- умови отримання користувачем можливості обробляти інформацію в системі та правила обробки цієї інформації;

телекомунікаційна система -- сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб;

технічний захист інформації -- вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів унеможливлений витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації.

Доповнює перелік основних термінів у сфері захисту інформації в інформаційно-телекомунікаційних системах Наказ ДСТЗІ СБ України 24 грудня 2001 р. № 76, яким затверджено Порядок захисту державних шформаційних ресурсів в автоматизованих системах.

3. Відносини між суб'єктами в процесі обробки інформації в інформаційно-телекомунікаційній системі

Аналіз відносин, що виникають між суб'єктами в процесі обробки інформації в інформаційно-телекомунікаційних системах, дає можливість розкрити їх специфіку.

Об'єктами захисту в системі є інформація, що обробляється в ній, та програмне забезпечення, яке призначено для обробки цієї інформації.

Суб'єктами відносин, пов'язаних із захистом інформації в системах, є:

власники інформації;

власники системи;

користувачі;

- уповноважений орган у сфері захисту інформації в системах (Державна служба спеціального зв'язку та захисту інформації України).

На підставі укладеного договору або за дорученням власник інформації може надати право розпоряджатися інформацією іншій фізичній або юридичній особі -- розпоряднику інформації.

На підставі укладеного договору або за дорученням власник системи може надати право розпоряджатися системою іншій фізичній або юридичній особі -- розпоряднику системи.

Статтею 4 Закону України "Про захист інформації в інформаційно-телекомунікаційних системах" визначені загальні підстави доступу до інформації в системі: "порядок доступу до інформації, перелік користувачів та їх повноваження стосовно цієї інформації визначаються власником інформації.

Порядок доступу до інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, перелік користувачів та їх повноваження стосовно цієї інформації визначаються законодавством.

У випадках, передбачених законом, доступ до інформації в системі може здійснюватися без дозволу її власника в порядку, встановленому законом".

Власник системи забезпечує захист інформації в системі в порядку та на умовах, визначених у договорі, який укладається ним із власником інформації, якщо інше не передбачено законом.

Власник системи на вимогу власника інформації надає відомості щодо захисту інформації в системі Відносини між власником системи та користувачем полягають у тому, що власник системи надає користувачеві відомості про правила і режим роботи системи та забезпечує йому доступ до інформації в системі відповідно до визначеного порядку доступу.

Відносини між власниками систем базуються на тому, що власник системи, яка використовується для обробки інформації з іншої системи, забезпечує захист такої інформації в порядку та на умовах, що визначаються договором, який укладається між власниками систем, якщо інше не встановлено законодавством.

Власник системи, яка використовується для обробки інформації з іншої системи, повідомляє власника зазначеної системи про виявлені факти несанкціонованих дій щодо інформації в системі.

Умови обробки інформації в системі визначаються власником системи відповідно до договору з власником інформації, якщо інше не передбачено законодавством.

Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством (див. попередню лекцію).

Для створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.

Відповідальність за забезпечення захисту інформації в системі покладається на власника системи.

Власник системи, в якій обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога Щодо захисту якої встановлена законом, утворює службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним.

Про спроби та/або факти несанкціонованих дій у системі щодо інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, власник системи повідомляє уповноважений орган у сфері захисту інформації.

Вимоги до забезпечення захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої передбачена законом, встановлюються Кабінетом Міністрів України.

Обов'язки уповноваженого органу у сфері захисту інформації в системах виконує центральний орган виконавчої влади у сфері криптографічного та технічного захисту інформації (Державна служба спеціального зв'язку та захисту інформації України).

Уповноважений орган у сфері захисту інформації в системах:

розробляє пропозиції щодо державної політики у сфері захисту інформації та забезпечує її реалізацію в межах своєї компетенції;

визначає вимоги та порядок створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;

організовує проведення державної експертизи комплексних систем захисту інформації, експертизи та підтвердження відповідності засобів технічного і криптографічного захисту інформації;

здійснює контроль за забезпеченням захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.

Державні органи в межах своїх повноважень за погодженням з уповноваженим органом у сфері захисту інформації встановлюють особливості захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.

Особливості захисту інформації в системах, які забезпечують банківську діяльність, встановлюються Національним банком України.

4. Відповідальність за порушення законодавства про захист інформації в інформаційно-телекомунікаційних системах

Особи, винні в порушенні порядку і правил захисту оброблюваної в ITC інформації, несуть дисциплінарну, адміністративну, кримінальну чи матеріальну відповідальність згідно з чинним законодавством України.

Зупинимося на окремих складах правопорушень у сфері захисту інформації в АС.

Кодекс України про адміністративні правопорушення було доповнено Законом України "Про внесення змін до деяких законодавчих актів України від 11 травня 2004 року" № 1703-ІУ статтею 212-6 "Здійснення незаконного доступу до інформації в автоматизованих системах".

Цією статтею передбачена адміністративна відповідальність за "здійснення незаконного доступу до інформації, яка зберігається, обробляється чи передається в автоматизованих системах". Санкція за дане правопорушення - накладення штрафу від п'яти до десяти неоподатковуваних мінімумів доходів громадян з конфіскацією засобів, що використовувалися для незаконного доступу, або без такої Та сама дія, вчинена особою, яку протягом року було піддано адміністративному стягненню за порушення, передбачене в частині першій статті 212-6, - тягне за собою накладення штрафу від десяти до двадцяти неоподатковуваних мінімумів доходів громадян з конфіскацією засобів, що використовувалися для незаконного доступу.

Законом України "Про внесення змін до Кримінального та Кримінально-процесуального кодексів України від 23 грудня 2004 року № 2289-ІУ статті 361, 361-2, 362, 363, 363-1 Кримінального кодексу України (КК України) були викладені у новій редакції. Передбачені даними статтями склади злочинів містять об'єкт, що безпосередньо стосується захисту інформації в АС.

Стаття 361 КК України "Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку" передбачає кримінальну відповідальність за "несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, що призвело до витоку, втрати, підробки, блокування інформації, спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації". За скоєння такого злочину передбачається санкція у вигляді штрафу від шестисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеження волі на строк від двох до п'яти років, або позбавлення волі на строк до трьох років, з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до двох років або без такого та з конфіскацією програмних та технічних засобів, за допомогою яких було вчинено несанкціоноване втручання, які є власністю винної особи Додатковими кваліфікуючими ознаками даного злочину є вчинення його повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду. Такі діяння (дії) караються позбавленням волі на строк від трьох до шести років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років та з конфіскацією програмних та технічних засобів, за допомогою яких було вчинено несанкціоноване втручання, які є власністю винної особи.

Стаття 361-2 КК України "Несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або на носіях такої інформації" передбачає, що "несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або на носіях такої інформації, створеної та захищеної відповідно до чинного законодавства, -- караються штрафом від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян або позбавленням волі на строк до двох років з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані збут або розповсюдження інформації з обмеженим доступом, які є власністю винної особи.

Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, -- караються позбавленням волі на строк від двох до п'яти років з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані збут або розповсюдження інформації з обмеженим доступом, які є власністю винної особи". Стаття 362 КК України "Несанкціоновані дії з інформацією, яка оброблюється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї" передбачає кримінальну відповідальність за несанкціоновані зміну, знищення або блокування інформації, яка оброблюється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах чи комп'ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї. Санкція за скоєння даного злочину - штраф від шестисот до тисячі неоподатковуваних мінімумів доходів громадян або виправні роботи на строк до двох років конфіскацією програмних або технічних засобів, за допомогою яких було вчинено несанкціоновані зміна, знищення або блокування інформації, які є власністю винної особи.

"Несанкціоновані перехоплення або копіювання інформації, яка оброблюється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або зберігається на носіях такої інформації, якщо це призвело до її витоку, вчинені особою, яка має право доступу до такої інформації, -- караються позбавленням волі на строк до трьох років з позбавленням права обіймати певні посади або займатися певною діяльністю на той самий строк та з конфіскацією програмних чи технічних засобів, за допомогою яких було здійснено несанкціоновані перехоплення або копіювання інформації, які є власністю винної особи.

Дії, передбачені частиною першою або другою статті 362 КК України, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, - караються позбавленням волі на строк від трьох до шести років з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років та з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані дії з інформацією, які є власністю винної особи". Стаття 363 КК України "Порушення правил експлуатації електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них оброблюється передбачає, що "порушення правил експлуатації електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них оброблюється, якщо це заподіяло значну шкоду, вчинені особою, яка відповідає за їх експлуатацію, - караються штрафом від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до трьох років з позбавленням права обіймати певні посади чи займатися певною діяльністю на той самий строк". Стаття 363-1 КК України "Перешкоджання роботі електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку шляхом масового розповсюдження повідомлень електрозв'язку" передбачає кримінальну відповідальність за "умисне масове розповсюдження по відомлень електрозв'язку, здійснене без попередньої згоди адресатів, що призвело до порушення або припинення роботи електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку". Санкція -штраф від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеження волі на строк до трьох років.

"Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, якщо вони заподіяли значну шкоду, -- караються обмеженням волі на строк до п'яти років або позбавленням волі на той самий строк, з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років та з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено масове розповсюдження повідомлень електрозв'язку, які є власністю винної особи". Згідно зі статтею 18 Закону України "Про захист інформації в автоматизованих системах", шкода, заподіяна суб'єктам відносин, що виникають під час захисту інформації в АС (власникам інформації чи уповноваженим ними особам; власникам АС чи уповноваженим ними особам; користувачам інформації; користувачам АС), внаслідок незаконного створення перешкод для доступу до інформації, витоку чи втрати інформації в АС, відшкодовується особами, яких визнано винними в цьому.

5. Формування концепції захисту інформації в конкретній інформаційно-телекомунікаційній системі

Нормативні документи, що визначають особливості захисту інформації в конкретній автоматизованій системі, мають розроблятися на підставі і з урахуванням положень таких державних стандартів:

НД ТЗІ 1.1-002-99. Загальних положень щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу, затверджених наказом ДСТСЗІ від 28.04.99 № 22 "Про затвердження і введення в дію нормативних документів";

НД ТЗІ 2.5-005-99. Класифікації автоматизованих систем і стандартних функціональних профілів захищеності оброблюваної інформації від несанкціонованого доступу, затвердженої наказом ДСТСЗІ від 28.04.99 №22;

НД ТЗІ 2.5-004-99. Критеріїв оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу, затверджених наказом ДСТСЗІ від 28.04.99 № 22;

НД ТЗІ 1.1-003-99. Термінології в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу, затвердженої наказом ДСТСЗІ від 28.04.99 № 2

Згідно з НД ТЗІ 2.5-005-99. Класифікацією автоматизованих систем і стандартних профілів захищеності оброблюваної інформації від несанкціонованого доступу автоматизовані системи розподіляють на три класи: клас "1" - одномашинний однокористувачевий комплекс; клас "2" - локалізований багатомашинний багатокористува-чевий комплекс; клас "З" - розподілений машинний багатокористувачевий комплекс, у якому передання інформації здійснюється через незахищене середовище (глобальну мережу).

Прикладом індивідуального нормотворення у сфері захисту інформації в АС може бути Комплексна система захисту інформації в автоматизованій системі Міністерства та Інструкція користувача автоматизованої системи 3 класу, які затверджені Наказом Міністерства економіки та з питань європейської інтеграції України від 23.04.2002 р. № 121 "Про заходи щодо захисту конфіденційної і відкритої інформації, що циркулює в автоматизованій системі Міністерства". У зазначених документах використано принцип, який є актуальним не лише для Міністерства економіки та з питань європейської інтеграції України, а й для інших органів державної влади. Зокрема, зазначається, що широке застосування програмно-технічних обчислювальних засобів імпортного походження при приєднані їх до Інтернету принципово унеможливлює здійснити надійний захист інформації, що належить державі. У таких умовах забезпечення конфіденційності, цілісності і доступності інформації можливе лише в разі фізичного відокремлення автоматизованої системи, де циркулює інформація, яка потребує захисту, від системи, яка приєднана до Інтернету.

Страницы: 1, 2, 3, 4, 5, 6, 7