Інформаційна безпека – Остроухов В. В. – 7.4. Нормативні акти вищих та центральних органів виконавчої влади, які регулюють діяльність у сфері забезпечення інформаційної безпеки України

Розкривши основні положення законодавчих актів України, які визначають правові засади забезпечення інформаційної безпеки, розглянемо також положення нормативно-правових актів Президента України, Кабінету Міністрів України та Верховної Ради України, а також нормативні акти міністерств і відомств.

Визначальне значення для забезпечення інформаційної безпеки держави має Указ Президента України “Про Стратегію національної безпеки України” від 12 лютого 2007 р. № 105/2007.

Стратегія національної безпеки України (далі – Стратегія) визначав принципи, пріоритетні цілі, завдання та механізми забезпечення життєво важливих інтересів особи, суспільства і держави від зовнішніх і внутрішніх загроз в інформаційній та інших сферах життєдіяльності.

Як головну мету Стратегії визначено необхідність забезпечити такий рівень національної безпеки, який би гарантував поступальний розвиток України, її конкурентоспроможність, забезпечення прав і свобод людини і громадянина, подальше зміцнення міжнародних позицій та авторитету Української держави у сучасному світі.

Досягнення цієї мети можливе шляхом реалізації державної політики національної безпеки, яка передбачає забезпечення інформаційної безпеки, утвердження засад національної єдності задля розбудови демократичної, правової, конкурентоспроможної держави, формування соціально орієнтованої ринкової економіки, зміцнення науково-технологічного потенціалу, забезпечення інноваційного розвитку, зростання рівня життя і добробуту населення, екологічно і техногенно безпечних умов життєдіяльності суспільства.

В Стратегії національної безпеки України інформаційна сфера розглядається як важлива сфера життєдіяльності особи, суспільства та держави та одночасно як одна з ключових сфер національної безпеки України. До стратегічних пріоритетів політики національної безпеки в інформаційній сфері Стратегія (п. 3.10) серед інших відносить також забезпечення сприятливих зовнішніх умов для розвитку та безпеки держави шляхом забезпечення інформаційної безпеки при інтеграції до структур глобального інформаційного суспільства, одним із елементів яких е глобальна інформаційна мережа Інтернет.

Окрім того, Стратегією у п. 2.7 як виклики та загрози життєво важливим національним інтересам України в інформаційній сфері додатково виділяються: посилення негативного зовнішнього впливу на інформаційний простір України, що загрожує розмиванням суспільних цінностей і національної ідентичності; недостатні обсяги вироблення конкурентоспроможного національного інформаційного продукту, а також наближений до критичного стан безпеки інформаційно-комп’ютерних систем в галузі державного управління, фінансової і банківської сфери, енергетики, транспорту, внутрішніх та міжнародних комунікацій тощо.

Згідно з п. 4.1 Стратегії, подальший розвиток системи управління національною безпекою України в інформаційній та інших сферах життєдіяльності має здійснюватися, зокрема, у таких напрямах:

1) вдосконалення законодавства з питань національної безпеки, насамперед шляхом:

– розвитку правових засад управління національною безпекою через розробку відповідних законів, концепцій, доктрин, стратегій і програм, зокрема Національної програми протидії тероризму і екстремізму, Концепції розвитку національної інноваційної системи, Національної стратегії формування інформаційного суспільства, Доктрини інноваційного та науково-технологічного розвитку тощо;

– розробки та прийняття нових редакцій Кримінального і Кримінально-процесуального кодексів, законів України “Про Службу безпеки України”, “Про контррозвідувальну діяльність”, інші органи сектора безпеки, нових законів “Про профілактику злочинності”, “Про перехоплення телекомунікацій” тощо;

– усунення наявних протиріч, неузгодженостей і прогалин у чинних законах та інших нормативно-правових актах з питань національної безпеки і оборони;

– розробки та впровадження національних стандартів та технічних регламентів застосування інформаційно-комунікаційних технологій, гармонізованих з відповідними європейськими стандартами, у тому числі згідно з вимогами Конвенції про кіберзлочинність, ратифікованої Верховною Радою України;

– приведення законодавства з питань охорони державної таємниці до європейських стандартів;

2) підвищення ефективності планування, координації і контролю за діяльністю суб’єктів забезпечення національної безпеки в інформаційній сфері та їх відповідальності шляхом:

– підвищення ефективності діяльності суб’єктів забезпечення національної безпеки з упереджувального отримування інформації для своєчасного виявлення існуючих і нових типів внутрішніх і зовнішніх загроз в інформаційній сфері, розробка дієвих заходів щодо їх запобігання та нейтралізації;

– інформаційно-аналітичної підтримки діяльності органів державної влади, насамперед в умовах кризових і надзвичайних ситуацій, в тому числі особливого періоду;

– впровадження захищених інформаційно-телекомунікаційних мереж в органах державної влади;

– розробки та впровадження загальнодержавної системи визначення та моніторингу порогових значень показників (індикаторів), що характеризують рівень захищеності національних інтересів в інформаційній сфері та інших сферах життєдіяльності, виникнення реальних загроз національній безпеці.

Стратегія національної безпеки України є документом, обов’язковими для виконання, і основою для розробки конкретних програм за складовими державної політики інформаційної безпеки.

Важливе правове значення мають також укази Президента України “Про рішення Ради національної безпеки і оборони України від 17 червня 1997 року “Про невідкладні заходи щодо впорядкування системи здійснення державної інформаційної політики та удосконалення державного регулювання інформаційних відносин” від 21 червня 1997 p., “Про деякі заходи щодо захисту держави в інформаційній сфері” від 22 квітня 1998 p., “Про вдосконалення державного управління інформаційною сферою” від 16 вересня 1998 p., “Про затвердження Положення про технічний захист інформації в Україні” від 27 вересня 1999 p., “Про заходи щодо захисту інформаційних ресурсів держави” від 10 квітня 2000 p., “Про вдосконалення інформаційно-аналітичного забезпечення Президента України та органів державної влади” від 14 липня 2000 p., “Про заходи щодо розвитку національної складової глобальної інформаційної мережі Internet та забезпечення широкого доступу до цієї мережі” від 31 липня 2000 р., “Про додаткові заходи щодо безперешкодної діяльності засобів масової інформації, дальшого утвердження свободи слова в Україні” від 0 грудня 2000 р., “Про рішення Ради національної безпеки і оборони України від 19 липня 2001 року “Про заходи щодо захисту національних інтересів у галузі зв’язку та телекомунікацій ” від 23 серпня 2001 р., “Про деякі заходи щодо захисту державних інформаційних ресурсів у мережах передачі даних” 24 вересня 2001 р. № 891/2001, “Про рішення Ради національної безпеки і оборони України від 31 жовтня 2001 року “Про заходи щодо вдосконалення державної інформаційної політики та забезпечення інформаційної безпеки України” від б грудня 2001 р., “Про рішення Ради національної безпеки і оборони України від 21 березня 2008 року “Про невідкладні заходи щодо забезпечення інформаційної безпеки України” від 23 квітня 2008 р. та ін.

Правові та організаційні засади технічного захисту важливої для держави, суспільства і особи інформації, охорона якої забезпечується державою відповідно до законодавства, визначає Положення про технічний захист інформації в Україні, затверджене Указом Президента України від 27 вересня 1999 р. № 1229 (зі змінами та доповненнями).

Відповідно до п. 1 Положення, технічний захист інформації (ТЗІ) – діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації. Технічний захист інформації здійснюється щодо органів державної влади, органів місцевого самоврядування, органів управління Збройних сил України та інших військових формувань, утворених згідно із законодавством України, відповідних підприємств, установ, організацій (далі – органи, щодо яких здійснюється ТЗІ).

Згідно з п. 8 Положення, суб’єктами системи технічного захисту інформації є: 1) Державна служба спеціального зв’язку та захисту інформації України (далі – ДССЗЗІ України); 2) органи, щодо яких здійснюється ТЗІ; 3) науково-дослідні та науково-виробничі установи ДССЗЗІ України, державні підприємства, що перебувають в управлінні ДССЗЗІ України та виконують завдання з питань технічного захисту інформації; 4) військові частини, підприємства, установи та організації всіх форм власності й громадяни-підприємці, які провадять діяльність з технічного захисту інформації за відповідними дозволами або ліцензіями; 5) навчальні заклади з підготовки, перепідготовки та підвищення кваліфікації фахівців з технічного захисту інформації.

Основними завданнями органів, щодо яких здійснюється ТЗІ, є: забезпечення технічного захисту інформації згідно з вимогами нормативно-правових актів з питань технічного захисту інформації; видання у межах своїх повноважень нормативно-правових актів Із зазначених питань; здійснення контролю за станом технічного захисту інформації (п. 11 Положення).

Відповідно до покладених на завдань, органи, щодо яких здійснюється ТЗІ:

– створюють або визначають Підрозділи, на які покладається забезпечення технічного захисту інформації та контроль за його станом, узгоджують основні завдання та функції цих підрозділів;

– видають за погодженням з Адміністрацією ДССЗЗІ України та впроваджують нормативно-правові акти а питань технічного захисту інформації;

-погоджуютьзАдміністрацієюДССЗЗІУкраїнипроведенняпідпри-емствами, установами, організаціями тих науково-дослідних, дослідно-конструкторських і дослідно-технологічних робіт, спрямованих на розвиток нормативно-правової та матеріально-технічної бази системи технічного захисту інформації, які здійснюються за рахунок коштів державного бюджету;

– створюють або визначають за погодженням з Адміністрацією ДССЗЗІ України підприємства, установи та організації, що забезпечують технічний захист інформації;

– забезпечують підготовку, перепідготовку та підвищення кваліфікації кадрів з технічного захисту інформації;

– надають Адміністрації ДССЗЗІ України за його запитами відомості про стан технічного захисту інформації (п. 12 Положення).

На інших суб’єктів системи технічного захисту інформації п. 13 Положення покладено виконання наступних завдань: дослідження загроз для інформації на об’єктах, функціонування яких пов’язано з інформацією, що підлягає охороні; створення та виробництво засобів забезпечення технічного захисту інформації; розроблення, впровадження, супроводження комплексів технічного захисту інформації; підвищення кваліфікації фахівців з технічного захисту інформації.

Техніко-економічне обгрунтування, проектування будівництва та реконструкції об’єктів, проведення наукових досліджень та створення інформаційних систем, зразків озброєнь, військової та спеціальної техніки, критичних і небезпечних технологій виконуються за завданнями, до яких включаються вимоги з технічного захисту інформації, якщо під час виконання передбачених завданням робіт та у процесі функціонування зазначених об’єктів, систем, зразків і технологій циркулюватиме інформація, охорона якої забезпечується державою. Під час віднесення замовником таких робіт до особливо важливих та створення інформаційних систем державних органів завдання та результати приймання їх етапів погоджуються з Адміністрацією ДССЗЗІ України. Фінансування створення цих систем здійснюється після такого погодження (п. 16 Положення).

Під час розроблення і впровадження заходів з технічного захисту інформації використовуються засоби, дозволені Адміністрацією ДССЗЗІ України для застосування та включені до відповідних переліків.

Контроль у сфері технічного захисту інформації полягає в перевірці ДССЗЗІ України виконання вимог цього Положення, інших нормативно-правових актів з питань технічного захисту інформації та в оцінюванні захищеності інформації на об’єкті, де вона циркулюватиме або циркулює.

Оцінювання захищеності інформації здійснюється ДССЗЗІ України шляхом атестації або експертизи комплексів технічного захисту інформації та інспекційних перевірок. За результатами атестації або експертизи комплексів технічного захисту інформації визначається можливість введення в експлуатацію об’єкта, де циркулюватиме інформація, охорона якої забезпечується державою.

Порядок експертизи та інспекційних перевірок захищеності інформації визначається відповідними нормативно-правовими актами.

Розроблення, впровадження, атестація та експлуатація комплексів технічного захисту інформації для власних потреб здійснюються відповідними підрозділами органів, щодо яких здійснюється ТЗІ, або військовими частинами, підприємствами, установами, організаціями, на які в установленому порядку покладено забезпечення технічного захисту інформації, за наявності у них відповідного дозволу ДССЗЗІ України. До виконання цих робіт можуть бути залучені суб’єкти підприємницької діяльності, що мають відповідні ліцензії ДССЗЗІ України. Результати атестації на державних об’єктах, віднесених замовником до особливо важливих, погоджуються з Адміністрацією ДССЗЗІ України.

Указ Президента України “Про заходи щодо захисту інформаційних ресурсів держави” від 10 квітня 2000 р. Л° 582. Згідно з Указом реалізація державної політики у сфері захисту державних інформаційних ресурсів у мережах передачі даних, криптографічного та технічного захисту інформації покладено на Державну спеціальну службу зв’язку та захисту інформації України (ДССЗЗІ України).

Органи державної влади, підприємства, установи та організації незалежно від форм власності, які обробляють, передають, збирають та зберігають інформацію, що є власністю держави, використовують мережі передачі даних, зокрема загального користування, з додержанням порядку та вимог захисту інформації, що визначаються ДССЗЗІ.

Порушення вимог захисту інформації, виявлені ДССЗЗІ в процесі її діяльності, підлягають усуненню шляхом профілактики, якщо за їх вчинення чи виникнення не передбачено іншу юридичну відповідальність.

В свою чергу, Указом Президента України 23 серпня 2001 р. № 731/2001 “Про рішення Ради національної безпеки і оборони України від 19 липня 2001 року “Про заходи щодо захисту національних інтересів в галузі зв’язку та телекомунікацій” на Кабінет Міністрів України було покладено виконання завдання щодо підготовки пропозицій з удосконалення державного регулювання в інформаційній сфері та забезпечення використання вітчизняних технічних і програмних засобів під час впровадження новітніх систем криптографічного захисту інформації та інформаційних технологій у галузі телекомунікацій.

Про необхідність підвищення рівня захисту державних інформаційних ресурсів у мережах передачі даних, забезпечення інформаційної безпеки держави свідчать також відповідні положення Указу Президента України від 24 вересня 2001 р. № 891/2001 “Про деякі заходи щодо захисту державних інформаційних ресурсів у мережах передачі даних”, в якому йдеться про порядок підключення органів виконавчої влади, інших державних органів до іноземних і міжнародних мереж передачі даних, у тому числі до мережі Інтернет; виконання вимог щодо захисту державних інформаційних ресурсів у інформаційно-телекомунікаційних системах та забезпечення контролю за додержанням цього порядку.

Вирішальне значення для впорядкування вітчизняного ринку спеціальних технічних засобів для зняття інформації з каналів зв’язку (зокрема й мережі Інтернет) та інших засобів негласного одержання інформації має Указ Президента України “Про заходи щодо посилення контролю за розробкою, виготовленням і реалізацією технічних засобів негласного одержання інформації” від 14 грудня 1998 р. В цьому указі встановлюється, що розробка, виготовлення й реалізація спеціальних технічних засобів (у тому числі іноземного виробництва) для зняття інформації з каналів зв’язку, інших засобів негласного одержання інформації можливі лише за наявності ліцензії, виданої в порядку, передбаченому ст. 4 Закону України “Про підприємництво” .

У січні 1999 р. Верховна Рада України прийняла доповнення до цього Закону, що встановлювало видачу СБУ ліцензій для здійснення такої діяльності, відновивши ліцензування такої діяльності, що існувало раніше. Порядок ліцензування також передбачає проведення СБУ експертизи розроблювальних технічних засобів.

Водночас з огляду на наявність гострих проблем, явищ та чинників, що негативно впливають на реалізацію державної політики забезпечення національної безпеки в інформаційній сфері, чим породжують нові загрози національній безпеці та національним інтересам України в цій сфері та негативно впливають на розвиток вітчизняного громадянського суспільства й української держави та реалізацію її євро інтеграційних прагнень, РНБО України 21 березня 2008 р. було прийняте рішення про доцільність вжиття невідкладних заходів щодо забезпечення інформаційної безпеки України. Це рішення було затверджене Указом Президента України “Про рішення Ради національної безпеки і оборони України від 21 березня 2008 року “Про невідкладні заходи щодо забезпечення інформаційної безпеки України* від 23 квітня 2008 р. № 377/2008.

Відповідно до прийнятого Радою національної безпеки і оборони України рішення, на Кабінет Міністрів України зокрема було покладено завдання у тримісячний термін розробити за участю Служби безпеки України і внести на розгляд Верховної Ради України законопроект щодо правових механізмів виявлення, фіксації, кваліфікації, блокування та видалення з українського сегмента мережі Інтернет інформації, поширення якої заборонено законодавством України (пп. “г” п. 1 Рішення).

Цим Указом Президента України одним із заходів передбачено розробку за участю Антимонопольного комітету України, Національної ради України з питань телебачення і радіомовлення, Фонду державного майна України, а також затвердження заходів зі сприяння розвитку конкуренції та запобігання монополізму у сферах телекомунікацій, телебачення, радіомовлення і друкованих засобів масової інформації.

В Указі передбачено необхідність розробити за участю Служби безпеки України і внести у тримісячний строк на розгляд Верховної Ради України законопроекти щодо:

– посилення кримінальної відповідальності за незаконне збирання, зберігання, використання або поширення персональних даних особи без її згоди, а також установлення відповідальності за незабезпечення захисту персональних даних, що піддаються автоматизованій обробці;

– ратифікації Конвенції про захист осіб стосовно автоматизованої обробки даних особистого характеру;

– обов’язкового віднесення до інформації з обмеженим доступом персональних даних, а також відомостей, що надаються фізичними та юридичними особами органам державної влади, підприємствам і організаціям у зв’язку з виконанням їхніх повноважень та розголошення яких може завдати шкоди зазначеним особам;

– правових механізмів виявлення, фіксації, кваліфікації, блокування та видалення з українського сегменту мережі Інтернет інформації, поширення якої заборонено законодавством України.

Також в Указі Президента поставлено завдання перед компетентними суб’єктами розробити і внести на розгляд Верховної Ради України проект Концепції національної інформаційної політики, яка визначатиме основні напрями, засади і принципи національної політики та механізми її реалізації, а також пріоритети розвитку інформаційної сфери, буде спрямована на створення умов для побудови в Україні розвинутого інформаційного суспільства, забезпечення пріоритетного розвитку інформаційних ресурсів та інфраструктури, впровадження новітніх інформаційних технологій, захист національних моральних і культурних цінностей, забезпечення конституційних прав людини і громадянина на свободу слова та вільний доступ до інформації.

Окрім того, Національній раді України з питань телебачення і радіомовлення запропоновано вжити невідкладних заходів щодо посилення контролю за додержанням телерадіоорганізаціями та провайдерами програмної послуги вимог законодавства про телебачення і радіомовлення, зокрема вимог щодо частки національного продукту в загальному обсязі мовлення телерадіоорганізацій та обов’язкової частки мовлення українською мовою.

На доповнення до зазначених нормативних актів Президента України необхідно звернути увагу на нормативні акти Кабінету Міністрів України у визначеній вище сфері суспільних відносин, зокрема:

– Постанова Кабінету Міністрів України від 27 листопада 1998 р. № 1893 “Про затвердження Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави”;

– Постанова Кабінету Міністрів України від 8 жовтня 1997 р. № 1126

“Про затвердження Концепції технічного захисту інформації в Україні”;

– Постанова Кабінету Міністрів України від 31 серпня 1998 р. № 1352 “Про затвердження Положення про формування та виконання Національної програми інформатизації”;

– Постанова Кабінету Міністрів України від 4 січня 2002 № 3 “Про Порядок оприлюднення в мережі Інтернет інформації про діяльність органів виконавчої влади”;

– Постанова Кабінету Міністрів України від 12 квітня 2002 р. № 644

“Про затвердження Порядку формування та виконання регіональної програми і проекту інформатизації”;

– Постанова Кабінету Міністрів України від 16 листопада 2002 р. № 1772 ” Про затвердження Порядку взаємодії органів виконавчої влади з питань захисту державних інформаційних ресурсів в інформаційних та телекомунікаційних системах”;

, – Постанова Кабінету Міністрів України від 24 лютого 2003 р. № 208 “Про заходи щодо створення електронної інформаційної системи “Електронний Уряд”;

– Постанова Кабінету Міністрів України від 17 березня 2004 р. № 326 “Про затвердження Положення про Національний реєстр електронних інформаційних ресурсів”;

– Постанова Кабінету Міністрів України від 29 червня 2004р. № 812

“Деякі питання оперативно-технічного управління телекомунікаційними мережами в умовах надзвичайних ситуацій, надзвичайного та воєнного стану”;

– Постанова Кабінету Міністрів України від 29 березня 2006 р. № 373 “Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах”;

– Постанова Кабінету Міністрів України від 19 липня 2006 р. № 1000 _ “Деякі питання обліку, зберігання і використання документів, ” справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави”.

Одним із визначальних нормативних актів, яким було закладено підвалини для забезпечення захисту та здійснення контролю інформації в мережах передачі даних є Концепція технічного захисту інформації (ТЗІ), затверджена Постановою Кабінету Міністрів України від 8 жовтня 1997 р. № 1126.

Відповідно до змісту Концепції, ТЗІ – діяльність, спрямована на забезпечення інженерно-технічними засобами порядку доступу, цілісності й доступності (неможливості блокування) інформації, що становить державну та іншу передбачену законом таємницю, конфіденційної інформації, а також цілісності й доступності відкритої інформації, важливої для особистості, суспільства й держави.

Це визначення уточнює розкритий у зазначеній Концепції один із принципів формування і проведення державної політики в сфері технічного захисту інформації: “Обов’язковість захисту інженерно-технічними засобами інформації, що становить державну й іншу передбачену законом таємницю, конфіденційної інформації, що є власністю держави, відкритої інформації, важливої для держави, незалежно від того, де зазначена інформація циркулює, а також відкритої інформації, важливої для суспільства й держави, якщо ця інформація циркулює в органах державної влади й органах місцевого самоврядування, Національний академії наук. Збройних силах, інших військових формуваннях, органах внутрішніх справ, на державних підприємствах, у державних установах і організаціях”.

Серед згаданих у цьому переліку термінів законодавцем чітко визначено лише поняття державної таємниці. Водночас “інша, передбачена законом таємниця” насправді ніяким законом України не визначена, малозрозумілим є поняття “конфіденційної інформації, що е власністю держави”: згідно зі ст. 30 Закону України “Про інформацію” вона може бути власністю тільки юридичних і фізичних осіб, але не держави. Також розмитим є поняття “відкритої інформації, важливої для держави, незалежно від того, де зазначена інформація циркулює”.

Тому закономірним буде висновок про те, що рішення, яку інформацію потрібно захищати, будуть приймати державні службовці за своїм переконанням, не обмеженим жодними правовими рамками. Концепція передбачає створення підрозділів ТЗІ всюди, де необхідно захищати інформацію. Аналіз положень Концепції ТЗІ наводить на думку про те, що реалізація цієї концепції фактично спрямована на обмеження доступу до офіційної інформації, однак не визначає чітких підстав та умов проведення в Україні діяльності щодо контролю за інформацією, що циркулює в інформаційних мережах.

Іншим важливим документом щодо контролю інформації в інформаційних мережах в Україні стала “Інструкція про порядок обліку, зберігання й використання документів, справ, видань і інших матеріальних носіїв інформації, що містять конфіденційну інформацію, що є власністю держави”, затверджена Постановою Кабінету Міністрів України від 27 листопада 1998 р. Л° 1898.

Відповідно до п. 1 Інструкції до таких переліків може ввійти не лише інформація, що створюється самим органом влади, але й інформація, що перебуває в його розпорядженні й користуванні. Тому будь-яка інформація, що потрапила в поле зору державного органу, може бути за бажанням його керівника оголошена конфіденційною.

Згідно з п. 2 Постанови центральні й місцеві органи виконавчої влади й органи місцевого самоврядування повинні розробити в шестимісячний строк і ввести в дію переліки конфіденційної інформації, що є власністю держави, цій інформації привласнюється гриф “Для службового користування” (ДСК). Відповідно до п. З Постанови виконувати Інструкцію повинні не лише органи влади, але й підприємства, установи й організації незалежно від форм власності.

Документи органів законодавчої влади, вищих органів виконавчої влади й судової влади, що вийшли у світ в І991 році й пізніше без грифа обмеження доступу, але не опубліковані в офіційній пресі, розглядаються як матеріали, що містять відомості обмеженого поширення із грифом “ДСК” (п. 5 Інструкції).

Умови зберігання, розмноження й розсилання документів із грифом “ДСК” не менш жорсткі, аніж для документів, що містять відомості, що становлять державну таємницю: реєстрація й знищення всіх чернеток і варіантів документів, заборона на позначення прізвищ і навіть посад керівників організації тощо (пункти 17-28 Інструкції)* Ознайомлення представників ЗМІ з документами із грифом “ДСК” дозволяється тільки за письмового дозволу керівника організації в кожному конкретному випадку й лише після розгляду цього питання експертною комісією, що приймає письмове рішення про доцільність передачі документа журналістові. Зі змісту Інструкції видно тільки, що до складу зазначеної експертної комісії входять “співробітники канцелярії, РСП та інших структурних підрозділів”.

Одним із недоліків Інструкції стало те, що в ній конкретно не визначено, хто саме та на підставі яких критеріїв, вирішує, які відомості е конфіденційними, а які ні. Також зі змісту Інструкції не зрозуміло, чи будуть доступні для широкого використання самі переліки, тим більше, що кожне відомство може мати свій перелік.

Постанови Кабінету Міністрів України “Про затвердження Положення про формування та виконання Національної програми інформатизації” від 31 серпня 1998 р. № 1352 та “Про затвердження Порядку формування та виконання регіональної програми і проекту інформатизації” від 12 квітня 2002 р. № 644 спрямовані на реалізацію на загальнодержавному та регіональному рівнях положень відповідних законів України у галузі інформатизації: “Про Національну програму інформатизації” від 4 лютого 1998р. Ле 74/98-ВРта “Про Концепцію Національної програми інформатизації” від 4 лютого 1998 р. № 75/98, зміст яких вже було нами попередньо розглянуто.

Питання забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах врегульовані Постановою Кабінету Міністрів України від 29 березня 2006 р. № 373 “Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах”.

Правила, затверджені зазначеною постановою, визначають загальні вимоги та організаційні засади забезпечення захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах. Дія цих Правил не поширюється на захист інформації в системах урядового та спеціальних видів зв’язку.

Відповідно до п. 2 Правил, захисту в системі підлягає:

– відкрита інформація, яка є власністю держави та відповідно до Закону України “Про інформацію” належить до статистичної, правової, соціологічної інформації, інформації довідково-енциклопедичного характеру й використовується для забезпечення діяльності державних органів або органів місцевого самоврядування, а також інформація про діяльність зазначених органів, яка оприлюднюється в Інтернет, інших глобальних інформаційних мережах і системах або передається телекомунікаційними мережами. Відкрита інформація під час обробки в системі повинна зберігати цілісність, що забезпечується шляхом захисту системи від несанкціонованих дій, які можуть призвести до випадкової або умисної модифікації чи знищення такої інформації;

– конфіденційна інформація, яка є власністю держави або вимога щодо захисту якої встановлена законом, у тому числі конфіденційна інформація про фізичну особу. Під час обробки такої інформації повинен забезпечуватися її захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення;

– інформація, що становить державну або іншу передбачену законом таємницю. У процесі її обробки повинен забезпечуватися її захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.

Доступ до конфіденційної інформації надається тільки ідентифікованим та автентифікованим користувачам. Спроби доступу до такої інформації не ідентифікованих осіб чи користувачів з непідтвердженою під час автентифікації відповідністю пред’явленого ідентифікатора повинні блокуватися.

У системі забезпечується можливість надання користувачеві права на виконання однієї або кількох операцій з обробки конфіденційної інформації або позбавлення його такого права.

Вимоги до захисту в системі інформації, що становить державну таємницю, визначаються цими Правилами та законодавством у сфері охорони державної таємниці. Вимоги до захисту в системі інформації від несанкціонованого блокування визначаються її власником (розпорядником), якщо інше для цієї інформації або системи, в якій вона обробляється, не встановлено законодавством (пункти 9 і 10 Правил).

Згідно з п. 11 Правил, у системі здійснюється обов’язкова реєстрація:

– результатів ідентифікації та автентифікації користувачів;

– результатів виконання користувачем операцій з обробки інформації;

– спроб несанкціонованих дій з інформацією;

– фактів надання та позбавлення користувачів права доступу до інформації та її обробки;

– результатів перевірки цілісності засобів захисту інформації. Така реєстрація інформації здійснюється автоматичним способом, а реєстраційні дані захищаються від модифікації та знищення користувачами, які не мають повноважень адміністратора безпеки. Ідентифікація та автентифікація користувачів, надання та позбавлення їх права доступу до інформації та її обробки, контроль за цілісністю засобів захисту в системі здійснюється автоматизованим способом.

В свою чергу, реєстрація спроб несанкціонованих дій з інформацією, що становить державну таємницю, а також конфіденційної інформації про фізичну особу, яка законом віднесена до персональних даних, повинна супроводжуватися повідомленням про них адміністратора безпеки системи (користувача, якого уповноважено здійснювати управління засобами захисту інформації і контроль за захистом Інформації в системі). Аналіз реєстраційних даних проводиться виключно адміністратором безпеки системи.

Відповідно до п. 13 Правил передача конфіденційної і таємної інформації з однієї системи до іншої здійснюється у зашифрованому вигляді або захищеними каналами зв’язку згідно з вимогами законодавства з питань технічного та криптографічного захисту інформації. Порядок підключення систем, в яких обробляється конфіденційна і таємна інформація, до глобальних мереж передачі даних (зокрема до мережі Інтернет) визначається законодавством.

Окрім того, Правилами у п. 15 передбачено здійснення контролю за цілісністю програмного забезпечення системи, яке використовується для обробки інформації, запобігання несанкціонованій його модифікації та ліквідація наслідків такої модифікації. Також контролюється цілісність програмних та технічних засобів захисту інформації, уразі порушення якої обробка інформації в системі припиняється.

Для забезпечення захисту інформації в інформаційній (телекомунікаційній чи інформаційно-телекомунікаційній) системі створюється комплексна система захисту інформації (п. 16 Правил), яка призначається для захисту інформації.

Відповідальність за забезпечення захисту інформації в системі, своєчасне розроблення необхідних для цього заходів та створення системи захисту покладається на керівника (заступника керівника) організації, яка є власником (розпорядником) системи, та керівників її структурних підрозділів, що забезпечують створення та експлуатацію системи. Організація та проведення робіт із захисту інформації ‘ в системі здійснюється службою захисту інформації, яка забезпечує визначення вимог до захисту інформації в системі, проектування, розроблення і модернізацію системи захисту, а також виконання ро-1 біт з її експлуатації та контролю за станом захищеності інформації.

Вимоги та порядок створення системи захисту, а також порядок проведення державної експертизи системи захисту, державної експертизи та сертифікації засобів технічного і криптографічного захисту інформації встановлюються Адміністрацією ДССЗЗІ України (пункти 21-22 Правил).

Виконавцем робіт зі створення системи захисту інформації може бути суб’єкт господарської діяльності або орган виконавчої влади, який має ліцензію або дозвіл на право провадження хоча б одного виду робіт у сфері технічного захисту інформації, необхідність проведення якого визначено технічним завданням на створення системи захисту.

Контроль за забезпеченням захисту інформації в системі полягає у перевірці виконання вимог з технічного та криптографічного захисту інформації та здійснюється у порядку, визначеному Адміністрацією ДССЗЗІ України.

Питання обліку електронних інформаційних ресурсів в державі та взаємодії органів виконавчої влади з питань захисту державних інформаційних ресурсів в інформаційних та телеком

(1 votes, average: 5,00 out of 5)