СТВОРЕННЯ КОМПЛЕКСНИХ СИСТЕМ ЗАХИСТУ ІНФОРМАЦІЇ

У зв'язку зі зверненнями замовників ТОВ "ТЗІ" з приводу обґрунтування створення КСЗІ та на продовження статті "НЕОБХІДНІСТЬ СТВОРЕННЯ КОМПЛЕКСНОЇ СИСТЕМИ ЗАХИСТУ ІНФОРМАЦІЇ (КСЗІ)" проведемо огляд нормативно - правової бази у сфері інформаційної безпеки.

Державна інформаційна політика України, відповідно до статті 3 закону України «Про інформацію», передбачає обов’язкове забезпечення захисту інформації.

Технічному захисту підлягає у першу чергу інформація з обмеженим доступом, яка циркулює як в електронному так і у мовному вигляді, проте у деяких випадках відкрита інформація захищається також.

Відповідальність за порушення законодавства про державну таємницю передбачена статтею 39 Закону України «Про державну таємницю»: «Посадові особи та громадяни, винні у: … невиконанні норм   і   вимог   технічного  захисту секретної інформації, внаслідок чого виникає реальна загроза порушення цілісності цієї інформації або просочення її  технічними каналами, - несуть дисциплінарну,   адміністративну    та    кримінальну відповідальність згідно із законом.

Відповідно до п. 5 Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 року № 1229/99, Організація технічного захисту інформації в органах, щодо яких здійснюється ТЗІ, покладається на їх керівників.

Пункт 22 Положення передбачає відповідальність посадових осіб та   громадян згідно із законодавством України у разі порушення вимог щодо  забезпечення  технічного захисту інформації. Також слід врахувати вимоги ст. 17 Конституції України «Захист суверенітету і територіальної цілісності України, забезпечення її економічної та інформаційної безпеки є найважливішими функціями держави, справою всього Українського народу». У залежності від того, у якому вигляді циркулює ІзОД, передбачено порядок захисту зазначеної інформації.

Враховуючи вимоги сучасного законодавства у сфері інформаційної безпеки необхідно акцентувати увагу на наступних положеннях нормативно – правової бази сучасного законодавства України.

Законом України «Про інформацію» від 2 жовтня 1992 рокуN 2657-XII Ст. 21 передбачено, що інформацією з обмеженим доступом є конфіденційна, таємна та службова інформація. 

Конфіденційною є інформація про фізичну особу, а також інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень. Конфіденційна інформація може поширюватися за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, а також в інших випадках, визначених законом. 

Слід згадати про "Типовий порядок обробки персональних даних у базах персональних даних" затверджено наказом Міністерства юстиції України 30.12.2011 № 3659/5, де у п.2.1 передбачено, що: "...Володілець бази персональних даних обробляє персональні дані в складі інформаційної (автоматизованої) системи, у якій забезпечується захист персональних даних відповідно до вимог закону...", а ці вимоги розглядаються нижче у огляді.

До службової може належати така інформація:
1) що міститься в документах суб'єктів владних повноважень, які становлять внутрівідомчу службову кореспонденцію, доповідні записки, рекомендації, якщо вони пов'язані з розробкою напряму діяльності установи або здійсненням контрольних, наглядових функцій органами державної влади, процесом прийняття рішень і передують публічному обговоренню та/або прийняттю рішень;

2) зібрана в процесі оперативно-розшукової, контррозвідувальної діяльності, у сфері оборони країни, яку не віднесено до державної таємниці.

Документам, що містять інформацію, яка становить службову інформацію, присвоюється гриф "для службового користування". Перелік відомостей, що становлять службову інформацію, який складається органами державної влади, органами місцевого самоврядування, іншими суб'єктами владних повноважень, у тому числі на виконання делегованих повноважень, не може бути обмеженим у доступі.

Таємна інформація - інформація, доступ до якої обмежується , розголошення якої може завдати шкоди особі, суспільству і державі. Таємною визнається інформація, яка містить державну, професійну, банківську таємницю, таємницю досудового розслідування та іншу передбачену законом таємницю.

Законом України «Про захист інформації в інформаційно-телекомунікаційних системах» від 5 липня 1994 року N 80/94-ВР Ст. 8 визначено умови обробки інформації в системі. Умови обробки інформації в системі визначаються власником системи відповідно до договору з власником інформації, якщо інше не передбачено законодавством (в нашому випадку - передбачено). Інформація, яка є власністю держави, або інформація з обмеженим доступом (повертаємось до п.1), вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю (наявність Атестату відповідності). Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством (АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ Н А К А З 16.05.2007N 93 Зареєстровано в Міністерстві юстиції України 16 липня 2007 р. N 820/14087 "Про затвердження Положення про державну експертизу в сфері технічного захисту інформації"). 

Для створення комплексної системи захисту інформації, яка є власністю держави,або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.

ПКМУ від 29 березня 2006 р. N 373 Ст. 4 зазначено, що захисту в системі підлягає: Відкрита інформація, яка належить до державних інформаційних ресурсів, а також відкрита інформація про діяльність суб'єктів владних повноважень, військових формувань, яка оприлюднюється в Інтернеті, інших глобальних інформаційних мережах і системах або передається телекомунікаційними мережами; Конфіденційна інформація, яка перебуває у володінні розпорядника інформації, визначених частиною першою статті 13 Закону України "Про доступ до публічної інформації"(2939-17); Службова інформація; Інформація, яка становить державну або іншу передбачену законом таємницю; Інформація, вимога щодо захисту якої встановлена законом. 

Законом України «Про доступ до публічної інформації 13 січня 2011 року № 2939-VI Ст. 13. Розпорядники інформації

1. Розпорядниками інформації визнаються:

1) суб'єкти владних повноважень - органи державної влади, інші державні органи, органи місцевого самоврядування, органи влади Автономної Республіки Крим, інші суб'єкти, що здійснюють владні управлінські функції відповідно до законодавства та рішення яких є обов'язковими для виконання.

ДСТУ 3396.0-96 "ДЕРЖАВНИЙ СТАНДАРТ УКРАЇНИ Захист інформації ТЕХНІЧНИЙ ЗАХИСТ ІНФОРМАЦІЇ Основні положення" у п. 3.1 визначено, що об'єктом технічного захисту є інформація, що становить державну або іншу передбачену законодавством України таємницю, конфіденційна інформація, що є державною власністю чи передана державі у володіння, користування, розпорядження.

Затверджене Указом Президента України від 30 червня 2011 року № 717/2011 ПОЛОЖЕННЯ про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України встановлено, що «Адміністрація є центральним органом виконавчої влади зі спеціальним статусом, головним органом у системі центральних органів виконавчої влади з формування і забезпечення реалізації державної політики у сферах організації спеціального зв'язку та захисту інформації, телекомунікацій, користування радіочастотним ресурсом України» під час робіт з проведення робіт по захисту інформації слід користуватися нормативними документами в галузі ТЗІ.

Таким чином випливає, що незважаючи на незначні розбіжності, питання захисту інформації з обмеженим доступу достатньо чітко описано в вітчизняному законодавстві.