Щодо Закону України “про внесення змін до Закону України

" ПРО ЗАХИСТ ІНФОРМАЦІЇ В АВТОМАТИЗОВАНИХ СИСТЕМАХ"

Трутнєв Микола Васильович,

ДСТСЗІ СБ України, конт. тел. 483-97-30

31 травня 2005 року Верховною Радою України було прийнято Закон України “Про внесення змін до Закону України " Про захист інформації в автоматизованих системах" (№2594-IV), яким вводиться його нова редакція. В новій редакції Закону змінено його назву на Закон України “Про захист інформації в інформаційно-телекомунікаційних системах”.

Значна кількість правових норм у новій редакції відповідає нормам, встановленим у Законі України “Про захист інформації в автоматизованих системах”. Серед них необхідно відмітити такі:

- визначення вимог та порядку організації захисту інформації в інформаційно-телекомунікаційних системах (далі – ІТС), включаючи питання забезпечення державного управління захистом інформації в ІТС;

- необхідність визначення відповідальності (створення відповідних підрозділів) за забезпечення захисту інформації в кожній ІТС;

- здійснення контролю за станом безпеки інформації в ІТС.

Разом з тим у Законі України “Про захист інформації в інформаційно-телекомунікаційних системах” у порівнянні з Законом України “Про захист інформації в автоматизованих системах”:

1) Внесено зміни та доповнення до переліку термінів та визначень з урахуванням сучасного розвитку інформаційних технологій. Внесено правові норми з регулювання відносин між власниками (розпорядниками) різних ІТС.

2) Більш чітко, з урахуванням стану захисту інформації в Україні та в світі, визначено норми щодо забезпечення захисту інформації, яка є власністю держави, та інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.

Довідково:

Стаття 8. Умови обробки інформації в системі

(абз.2) Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством.

Доопрацьовано питання державного управління захистом інформації в ІТС в Україні

Довідково:

Стаття 10. Повноваження державних органів у сфері захисту інформації в системах

Вимоги до забезпечення захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, встановлюються Кабінетом Міністрів України.

Обов'язки уповноваженого органу у сфері захисту інформації в системах виконує центральний орган виконавчої влади у сфері криптографічного та технічного захисту інформації.

Державні органи в межах своїх повноважень за погодженням з уповноваженим органом у сфері захисту інформації встановлюють особливості захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.

У ст.13 “Прикінцеві положення” Закону встановлено, що він набирає чинності з 1 січня 2006 року.

У зв’язку з прийняттям зазначеного Закону згідно з ст. 10 здійснюється підготовка постанови Кабінету Міністрів України, якою буде встановлено вимоги до забезпечення захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.

До цього документа планується включити такі положення та вимоги.

ü Дія документа поширюється на всі ІТС, в яких обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, незалежно від їх класифікації, призначення та форми власності, крім систем (мереж) спеціальних видів зв’язку.

ü В ІТС забезпечується захист:

1) Відкритої інформації, яка є власністю держави.

2) Конфіденційної інформації, яка є власністю держави.

3) Інформації, що становить державну таємницю.

4) Інформації, що становить інший, встановлений законом, вид таємниці.

5) Інформації про особу (персональних даних).

ü Повинна бути захищеною від порушення цілісності (випадкової чи умисної модифікації та знищення) відкрита інформація, що належить державі:

- про діяльність державних органів та органів місцевого самоврядування, яка призначена для оприлюднення, і розміщена в мережі Інтернет, інших глобальних інформаційних системах або передається мережами передачі даних;

- якщо вона належить до видів, визначених статтями 19, 22, 24, 25 Закону України “Про інформацію”, і використовується для забезпечення діяльності державних органів та органів місцевого самоврядування.

Захист інших видів відкритої інформації від несанкціонованої модифікації та знищення забезпечується у випадках, коли це встановлено законодавством.

ü Конфіденційна інформація під час обробки в ІТС повинна зберігати властивості конфіденційності та цілісності – вона не підлягає несанкціонованому та неконтрольованому ознайомленню, модифікації, знищенню, копіюванню, поширенню.

Доступ до конфіденційної інформації повинен надаватися тільки зареєстрованим користувачам після їх гарантованого розпізнавання.

ü Інформація, що становить державну таємницю, під час обробки в ІТС повинна зберігати властивості конфіденційності та цілісності – вона має бути захищеною від несанкціонованих дій, що можуть призвести до випадкової чи умисної її модифікації, знищення, копіювання, поширення (витоку), ознайомлення.

Склад вимог і необхідних для їх реалізації заходів визначається нормативними документами з технічного та криптографічного захисту інформації з урахуванням ступеня обмеження доступу до інформації та класу ІТС на підставі нормативно-правових актів про охорону державної таємниці.

ü Захист таємної інформації (крім державної таємниці) здійснюється у відповідності з вимогами для конфіденційної інформації, якщо інше не встановлено законом.

ü Персональні дані під час автоматизованої обробки повинні зберігати властивості конфіденційності та цілісності - вони не підлягають несанкціонованому та неконтрольованому ознайомленню, модифікації, знищенню, копіюванню, поширенню.

У всіх інших випадках вимоги щодо захисту персональних даних повинні бути еквівалентні вимогам із захисту конфіденційної інформації.

ü Передавання інформації з обмеженим доступом із однієї ІТС для обробки в іншу ІТС здійснюється за умови вимог законодавства щодо цього та за умови забезпечення в ній адекватного рівня захисту інформації.

ü Реєстрація та моніторинг дій користувачів повинні здійснюватись автоматичним способом, а журнали реєстрації мають бути захищені від модифікації та знищення звичайними користувачами (які не мають повноважень адміністратора безпеки).

ü Обов’язки звичайного користувача і адміністратора безпеки не можуть виконуватись однією особою.

ü В ІТС з багатьма користувачами всі критичні для безпеки функції захисту (ідентифікації та автентифікації користувачів, розмежування доступу, контролю за цілісністю механізмів захисту) повинні бути реалізовані автоматизованим способом.

ü В ІТС з одним звичайним користувачем щонайменше має забезпечуватись реєстрація його дій в системі.

ü Заходи захисту інформації від витоку технічними каналами вживаються, якщо в ІТС обробляється інформація, що становить державну таємницю, або коли відповідне рішення щодо необхідності цього прийняте власником (розпорядником) інформації за результатами аналізу й оцінки загроз для інформації.

ü Захист інформації від несанкціонованих дій, у тому числі від комп’ютерних вірусів, здійснюється в усіх ІТС і забезпечується впровадженням комплексу засобів захисту (програмних, програмно-апаратних, апаратних) і організаційних заходів.

ü Рішення щодо необхідності вжиття заходів захисту від спеціальних впливів на інформацію приймається власником інформації самостійно.

ü Відповідальність за забезпечення захисту інформації в ІТС, своєчасне розроблення та впровадження необхідних заходів щодо цього покладається на керівника організації, яка є власником (розпорядником) ІТС та керівників її структурних підрозділів, що забезпечують створення та експлуатацію ІТС, у межах їх компетенції.

ü Організація робіт з захисту інформації в ІТС та контроль за станом захищеності інформації здійснюється службою захисту інформації в ІТС.

Служба захисту інформації створюється (призначається):

- в ІТС, де обробляються персональні дані та інформація, що становить державну таємницю;

- в ІТС, які за класифікацією нормативних документів системи технічного захисту інформації відносяться до класу “3”;

- в ІТС, які за класифікацією нормативних документів системи технічного захисту інформації відносяться до класу “2” і обробляють інформацію з обмеженим доступом, що не становить державної таємниці;

- в інших випадках, передбачених законодавством;

- за рішенням власника (розпорядника) ІТС.

У разі незначного обсягу робіт, пов’язаних з захистом інформації, ці завдання можуть покладатися на окрему особу.

ü Роботи із захисту інформації в ІТС виконуються власником (розпорядником) ІТС з дотриманням вимог законодавства про ліцензування господарської діяльності.

Окремі види робіт виконуються суб’єктами господарювання, що одержали в установленому порядку ліцензії на здійснення цих видів робіт.

Державні органи та органи місцевого самоврядування можуть виконувати роботи із захисту інформації за умови одержання у встановленому порядку дозволу на провадження діяльності для власних потреб. Порядок одержання дозволу встановлює уповноважений орган у сфері захисту інформації.

ü Витрати на заходи захисту інформації включаються до загальної кошторисної вартості робіт із створення (модернізації) ІТС.

Державні органи щороку під час підготовки бюджетних запитів передбачають кошти на фінансування заходів із захисту інформації, в тому числі для розпорядників бюджетних коштів нижчого рівня.

ü Порядок проведення державної експертизи комплексної системи захисту інформації в ІТС (далі - КСЗІ), державної експертизи та сертифікації засобів технічного і криптографічного захисту інформації встановлюється уповноваженим органом у сфері захисту інформації.

Державні органи та установи, які мають дозвіл на провадження діяльності для власних потреб або ліцензію відповідно, за дорученням уповноваженого органу у сфері захисту інформації організовують державну експертизу КСЗІ в ІТС, які належать до сфери свого управління. Порядок проведення державної експертизи встановлюється наказом державно органу (установи) і погоджується з уповноваженим органом у сфері захисту інформації.

ü Технічні завдання на створення ІТС (КСЗІ) установ, підприємств та організацій сфери управління державного органу погоджуються цим державним органом.

ü Розробником (головним виконавцем) КСЗІ може бути суб’єкт, який має ліцензію на право виконання хоча б одного класифікованого відповідно до ліцензійних умов провадження діяльності у сфері технічного захисту інформації виду робіт, необхідність виконання якого визначено технічним завданням на створення КСЗІ.

Для виконання видів робіт, на провадження яких головний виконавець не має ліцензії, залучаються співвиконавці, які відповідні ліцензії мають.

Державний орган може бути головним виконавцем за наявності дозволу на проведення для власних потреб класифікованого виду робіт, необхідність виконання якого визначено технічним завданням на створення КСЗІ.

Якщо при створенні КСЗІ є необхідність виконання робіт з криптографічного захисту інформації, головний виконавець залучає співвиконавців з відповідною ліцензією.

ü В ІТС, які складаються з декількох інформаційних та (або) телекомунікаційних систем, порядок організації робіт з захисту інформації може застосовуватись до кожної складової частини окремо.

ü Контроль за станом захисту інформації в ІТС є невід‘ємною частиною забезпечення захисту інформації на всіх етапах життєвого циклу ІТС і полягає у перевірці виконання вимог нормативно-правових актів і нормативних документів з питань технічного та криптографічного захисту інформації.