35434 (597235), страница 18

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 18)

3. Особливості дозвільного порядку здійснення діяльності з розробки технічних засобів захисту інформації

Дозвільний порядок здійснення діяльності з розробки технічних засобів захисту інформації визначається Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 29 грудня 1999 р. № 62.

Державна експертиза в сфері технічного захисту інформації (далі — експертиза) проводиться з метою оцінки захищеності інформації, яка обробляється або циркулює в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, приміщеннях, інженерно-технічних спорудах тощо (далі — об'єкти інформаційної діяльності), та підготовки обґрунтованих висновків для прийняття відповідних рішень.

Дія зазначеного Положення поширюється на всіх юридичних та фізичних осіб, які належать до числа суб'єктів експертизи.

Суб'єктами експертизи є:

юридичні та фізичні особи, які є замовниками експертизи (далі — замовники);

Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (Законом України <<Про Державну службу спеціального зв'язку та захисту інформації України" від 23 лютого 2006 року на базі Департаменту спеціальних телекомунікаційних систем та захисту інформації і відповідних підрозділів Служби безпеки України утворено Державну службу спеціального зв'язку та захисту інформації України, далі — Державна служба), а також підприємства, установи та організації, які проводять експертизу за його дорученням (далі — організатори);

фізичні особи — виконавці експертних робіт з технічного захисту інформації (далі — експерти). Об'єктами експертизи є:

комплексні системи захисту інформації (далі — КСЗІ), кожна з яких є невід'ємною складовою частиною конкретного об'єкта інформаційної діяльності і поєднує організаційні та інженерні заходи, програмні й технічні засоби, призначені для попередження навмисних чи ненавмисних дій щодо блокування інформації, порушення її цілісності або конфіденційності;

окремі технічні та програмні засоби, які реалізують функції технічного захисту інформації (далі — засоби забезпечення технічного захисту інформації, ЗТЗІ).

КСЗІ на об'єктах інформаційної діяльності, де обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, підлягають експертизі в обов'язковому порядку.

Експертиза може бути первинною та контрольною.

Первинна експертиза є основним видом експертизи і передбачає виконання всіх потрібних заходів для підготовки та прийняття рішення щодо об'єкта експертизи.

Контрольна експертиза провадиться іншим організатором: з ініціативи замовника, за наявності в нього обґрунтованих претензій до висновку первинної експертизи, або з ініціативи Державної служби — для перевірки висновків первинної експертизи.

Державна служба для організації та проведення експертизи:

- розробляє необхідні нормативно-правові аьсги та нормативні документи, що забезпечують проведення експертизи, інформує організаторів та експертів про введення їх у дію;

- формує Реєстри організаторів та експертів;

• реєструє заяви на проведення експертизи та надає замовникові консультації з процедурних питань;

• приймає рішення щодо можливості й доцільності проведення та організації експертизи, зокрема — контрольної;

• реєструє, видає, призупиняє дію або анулює документи, що засвідчують рішення щодо можливості використання ЗТЗІ чи відповідності КСЗІ вимогам нормативних документів з технічного захисту інформації;

• здійснює контроль за дотриманням тих вимог експлуатації об'єкта експертизи, недотримання яких впливає на захищеність інформації.

Замовник експертизи має право:

• використовувати без обмежень висновки, результати і матеріали експертизи у своїй діяльності, якщо іншого не передбачено договором на проведення експертизи;

заявляти клопотання про потребу проведення контрольної експертизи - брати, за погодженням з організатором, участь у проведенні експертних робіт.

Замовник експертизи зобов'язаний:

• сприяти організатору в проведенні всебічного комплексного дослідження об'єкта експертизи, виробленні експертної оцінки;

• передавати в установлені договором терміни організатору потрібні матеріали, розрахунки, дані, додаткові відомості, що стосуються об'єкта експертизи, та надавати потрібне обладнання.

Результати, матеріали, висновки експертизи та створене або придбане за кошти замовника матеріально-технічне забезпечення є його власністю, якщо іншого не передбачено договором між замовником і організатором.

Організатор експертизи має право:

• здійснювати всі потрібні заходи з метою організації та проведення експертизи відповідно до положень договору із замовником;

• готувати пропозиції щодо включення (виключення) фахівців з питань технічного захисту інформації до (з) Реєстру експертів;

• готувати пропозиції щодо розроблення та розробляти проекти нормативних документів з питань проведення експертизи.

Організатор експертизи зобов'язаний:

• забезпечувати неупереджене, об'єктивне та своєчасне проведення експертизи;

• за залучення Державною службою — розглядати проекти нормативних документів щодо виконання експертних робіт і надавати змістовні, обґрунтовані пропозиції та зауваження;

• створювати умови, які б забезпечували виконання вимог до конфіденційності проведення експертизи, якщо це передбачено договором.

Експерт має право:

• вільно викладати в документах з експертизи особисту думку з питань експертизи, а також — особливі думки відносно результатів виконання робіт;

• вимагати від організатора надання достовірних відомостей, матеріалів та інженерно-технічного забезпечення, потрібних для виконання експертних робіт та підготовки висновків;

• вносити пропозиції щодо вдосконалення форм і методів проведення експертизи.

Експерт зобов'язаний:

- об'єктивно, неупереджено та своєчасно виконувати експертні роботи;

• не допускати розголошення інформації, яка міститься у матеріалах та висновках експертизи;

• пред'являти на вимогу замовника документи, які підтверджують його досвід та рівень кваліфікації.

Положення про державну експертизу в сфері технічного захисту інформації, затверджене Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 29 грудня 1999 р. № 62 визначає також порядок організації та проведення експертизи.

З метою координації заходів та прийняття рішень щодо проведення експертиз при Державній службі створюється Експертна рада з питань державної експертизи в сфері технічного захисту інформації (далі — Експертна рада).

Для проведення експертизи замовник надсилає на ім'я керівника Державної служби у двох примірниках з копією на магнітному носії заяву про проведення експертизи комплексної системи захисту інформації об'єкта інформаційної діяльності або заяву про проведення експертизи засобу технічного захисту інформації.

За результатами розгляду заяви Експертна рада у місячний термін приймає рішення про доцільність проведення експертизи та визначає її організатора. У разі наявності у замовника обґрунтованих претензій щодо результатів або порядку проведення експертизи він може звернутися із заявою на ім'я керівника Державної служби про проведення контрольної експертизи.

Основним юридичним документом, що регламентує відносини між замовником і організатором, є договір на проведення експертизи. Порядок фінансування експертизи визначається відповідно до законодавства України, а оплата витрат на проведення експертизи, оплата праці експертів та послуг організаторів здійснюється на підставі договору. Термін проведення експертизи визначається договором і не повинен перевищувати шести місяців. Збільшення терміну проведення експертизи допускається лише за узгодженням з Державної службою у випадку значного обсягу експертних робіт. Питання оплати контрольної експертизи визначається у договорі на проведення експертизи.

Список експертів, які залучаються до виконання експертних робіт під час проведення конкретної експертизи, визначається організатором.

Замовник надає організатору визначений нормативними документами системи ТЗІ комплект організаційно-технічної документації на об'єкт експертизи. Організатор, за результатами аналізу наданих документів і з урахуванням загальних методик оцінювання ефективності ЗТЗІ та КСЗІ, формує програму і окремі методики проведення експертизи об'єкта та розробляє, у разі потреби, відповідне програмно-технічне забезпечення.

Терміни розроблення окремої методики та потрібних програмно-апаратних засобів залежать від характеру та складності об'єкта експертизи і визначаються у договорі на проведення експертизи. Під час проведення експертизи кожен експерт виконує тільки доручені організатором роботи, визначені окремою методикою. Результати роботи оформлюються у вигляді протоколу за підписом експертів, які її виконували. Протокол затверджується організатором. Організатор може рекомендувати експерту здійснити лише стилістичне редагування протоколів виконаних робіт без зміни їх змісту.

Узгодження результатів окремих робіт між експертом та організатором, а також внесення змін до протоколів після їх оформлення або поєднання результатів окремих робіт в одному протоколі не дозволяється. У протоколі можуть бути зафіксовані особливі думки експертів щодо результатів виконаних робіт. У разі виявлення невідповідності об'єкта експертизи вимогам нормативних документів системи технічного захисту інформації організатор може запропонувати замовнику виконати доробку об'єкта.

Термін доробки об'єкта експертизи визначається спільним протоколом між замовником та організатором. Відомості щодо кожної з доробок, а також результати додаткових експертних робіт, оформлюються окремими протоколами. Результати робіт, визначених окремою методикою, узагальнюються організатором в експертному висновку.

Висновки щодо кожного пункту окремої методики, а також особливі думки експертів, зафіксовані в протоколах, включаються до експертного висновку як складові частини, без унесення до них будь-яких змін.

За результатами проведених робіт організатор складає "Експертний висновок" щодо відповідності об'єкта експертизи вимогам нормативних документів системи технічного захисту інформації, підписує його і подає до Державної служби.

Положення про державну експертизу визначає також порядок надання "Експертного висновку" та "Атестата відповідності". "Експертний висновок" розглядається Експертною радою і в разі затвердження результатів експертизи реєструється та видається замовнику.

Наявність позитивного рішення щодо експертизи ЗТЗІ є підставою для включення цього засобу до переліку технічних засобів загального призначення, що дозволені Державною службою для використання з метою технічного захисту інформації.

На підставі позитивного рішення щодо експертизи КСЗІ замовнику видається зареєстрований "Атестат відповідності", який підписується керівником (заступником керівника) Державної служби. Державна служба має право призупинити або анулювати дію "Експертного висновку" та "Атестата відповідності". Порядок призупинення або анулювання дії зазначених документів визначається окремим нормативно-правовим документом системи ТЗІ.

Ліцензійні умови провадження господарської діяльності, пов'язаної з розробленням, виробництвом, впровадженням, обслуговуванням, дослідженням ефективності систем і засобів технічного захисту інформації, наданням послуг у галузі технічного захисту інформації, затверджені спільним Наказом Державного комітету України з питань регуляторної політики та підприємництва, Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 29.12.2000 № 89/67.

Зазначені Ліцензійні умови розроблені з урахуванням вимог Законів України "Про ліцензування певних видів господарської діяльності", "Про інформацію", Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 року № 1229 та інших нормативних актів. Ліцензійні умови визначають кваліфікаційні, організаційні, технологічні та інші вимоги до суб'єктів господарювання, виконання яких є обов'язковою умовою провадження певних видів робіт та надання певних видів послуг у межах господарської діяльності, пов'язаної з розробленням, виробництвом, впровадженням, обслуговуванням, дослідженням ефективності систем і засобів технічного захисту інформації, наданням послуг у галузі технічного захисту інформації (далі — господарська діяльність у галузі ТЗІ).

В установчих документах суб'єкта господарювання повинно бути передбачено провадження господарської діяльності в галузі ТЗІ. Ліцензування господарської діяльності в галузі ТЗІ провадить Державна служба спеціального зв'язку та захисту інформації України.

У межах господарської діяльності в галузі ТЗІ можуть виконуватися види робіт або надаватися види послуг (далі — види робіт), які визначаються зазначеними Ліцензійними умовами. У разі, якщо суб'єкт господарювання провадить господарську діяльність у галузі ТЗІ не в повному обсязі, а частково, ліцензійні умови поширюються на нього в частині, що встановлює вимоги до провадження окремих робіт.

Суб'єкт господарювання, який має намір провадити господарську діяльність в галузі ТЗІ та відповідає цим Ліцензійним умовам, подає до Державної служби заяву за встановленою формою про видачу ліцензії.

Ліцензуванню підлягають такі види робіт, які виконуються в межах господарської діяльності з технічного захисту інформації:

• розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є акустичні поля, надання консультативних послуг;

• розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали, надання консультативних послуг;

• розроблення, виробництво, впровадження, дослідження ефективності, супроводження засобів та комплексів технічного захисту інформації в інформаційних системах, інформаційних технологій із захистом інформації від несанкціонованого доступу, надання консультативних послуг;

• виявлення та блокування витоку мовної та видової інформації через закладні пристрої на об'єктах інформаційної діяльності, надання консультативних послуг;

• виробництво засобів забезпечення технічного захисту інформації, носіями якої є акустичні поля;

• виробництво засобів забезпечення технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали;

• розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є хімічні речовини, надання консультативних послуг.

Для провадження господарської діяльності в галузі ТЗІ суб'єкт господарювання повинен мати:

- штатних або найманих за договором спеціалістів, які мають повну вищу освіту відповідного професійного спрямування або пройшли перепідготовку та підвищення кваліфікації у галузі інформаційної безпеки чи мають стаж роботи відповідного професійного спрямування не менше 3 років;

• нормативно-правові акти з технічного захисту інформації, що забезпечують проведення обраного виду роботи;

• власні або орендовані засоби вимірювань і контролю, перелік яких визначається нормативними документами з питань технічного захисту інформації, та (або) засоби електронно-обчислювальної техніки в обсязі, що забезпечує проведення обраного виду роботи;

• власну або створену на договірній основі виробничу базу, яка дає змогу виробляти засоби забезпечення технічного захисту інформації згідно з вимогами нормативних документів з питань технічного захисту інформації;

• методику виявлення витоку мовної або видової інформації через закладні пристрої на об'єктах інформаційної діяльності (власної розробки з урахуванням апаратурного забезпечення, узгодженої з Державною службою).

Залежно від важливості інформації для особи, суспільства, держави та правового режиму доступу до інформації встановлюються особливі умови провадження господарської діяльності в галузі ТЗІ:

• з наданням права технічного захисту інформації усіх видів, у тому числі інформації, що містить відомості, які становлять державну таємницю;

• з наданням права технічного захисту інформації, що не містить відомостей, які становлять державну таємницю.

Для провадження господарської діяльності в галузі ТЗІ з наданням права технічного захисту інформації усіх видів, у тому числі інформації, що містить відомості, які становлять державну таємницю, суб'єкт господарювання повинен мати:

• дозвіл на здійснення діяльності, пов'язаної з державною таємницею;

• оформлені у встановленому порядку допуски до державної таємниці на спеціалістів, що залучаються до виконання робіт, пов'язаних із державною таємницею;

• матеріали, які відповідно до компетенції, державних завдань, програм, замовлень, договорів (контрактів) підтверджують, що суб'єкт господарювання передбачає провадити господарську діяльність у галузі ТЗІ, що містить відомості, які становлять державну таємницю;

- приміщення та (або) об'єкти електронно-обчислювальної техніки, атестовані на відповідність вимогам нормативних документів з питань технічного захисту інформації (за потреби).

Виконання робіт із захисту таємної інформації дозволяється в межах терміну дії відповідного дозволу на здійснення діяльності, пов'язаної з державною таємницею. При виконанні робіт на об'єктах інформаційної діяльності, на яких циркулює інформація, що містить відомості, які становлять державну таємницю, а також у державних органах та установах суб'єкт господарювання зобов'язаний:

• щорічно (до 20 грудня) надавати відомості до Державної служби щодо змісту виконаних робіт;

• терміново (не пізніше наступного дня) інформувати Державну службу про виявлення закладних пристроїв.

4. Правове регулювання захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах

Порядок захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, затверджений Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 24 грудня 2001 р. № 76, визначає основи організації та порядок захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах (далі - ITC). У ньому використовуються наступні поняття: державні інформаційні ресурси - інформація, яка є власністю держави та (або) необхідність захисту якої визначено законодавством;

інформаційно-телекомунікаційна система - організаційно-технічна сукупність, що складається з автоматизованої системи та мережі передачі даних;

дані - інформація, яка передається мережею передачі даних незалежно від способу її фізичного та логічного представлення;

мережа передачі даних - організаційно-технічна система, яка складається з комплексів телекомунікаційного обладнання (вузлів комутації) та реалізує технологію інформаційного обміну з використанням первинної мережі зв'язку оператор мережі передачі даних (вузла комутації) - юридична особа, що здійснює діяльність з надання послуг з передачі даних;

користувач мережі передачі даних - фізична або юридична особа (власник автоматизованої системи), яка користується послугами мережі передачі даних за договором з оператором.

Дія Порядку поширюється на ITC, які обробляють, зберігають, передають державні інформаційні ресурси.

Вимоги Порядку обов'язкові для всіх власників автоматизованих систем, що входять до складу ITC (користувачів мереж передачі даних), а також для підприємств (установ, організацій) усіх форм власності, які є операторами мереж передачі даних (далі -МПД) усіх типів: відомчих, подвійного призначення, загального користування, глобальних (у тому числі Інтернет).

Захист державних інформаційних ресурсів в автоматизованих системах, що входять до складу ITC (далі - автоматизована система, АС), повинен забезпечуватися впровадженням комплексу технічних, криптографічних, організаційних та інших заходів і засобів комплексної системи захисту інформації (далі - КСЗІ), спрямованих на недопущення блокування інформації, несанкціонованого ознайомлення з нею та/або її модифікації.

В АС повинен забезпечуватися захист від несанкціонованого доступу до державних інформаційних ресурсів з боку мереж передачі даних, зокрема глобальних мереж.

Конфіденційність інформації, яка є державними інформаційними ресурсами, під час передавання мережею передачі даних забезпечує власник АС з використанням засобів та заходів з криптографічного захисту інформації або оператор МПД за договором з власником АС.

Основними завданнями підприємств (установ, організацій), які є операторами МПД, щодо забезпечення захисту державних інформаційних ресурсів є:

- створення, упровадження та супроводження КСЗІ в МПД;

- контроль за виконанням користувачами встановленого режиму доступу до державних інформаційних ресурсів та ресурсів МПД, а також правил їх використання.

Захист державних інформаційних ресурсів у МПД повинен забезпечуватися впровадженням на кожному з її вузлів комутації комплексу технічних, криптографічних, організаційних та інших заходів і засобів захисту інформації, спрямованих на недопущення її блокування та/або модифікації.

Організація захисту державних інформаційних ресурсів у МПД покладається на керівника підприємства, яке є оператором МПД.

Права доступу до МПД окремим співробітникам підприємства, яке є оператором МПД, надаються наказом керівника підприємства у відповідності до їх службових обов'язків. При змінах у розподілі службових обов'язків права доступу мають бути своєчасно відкориговані.

Засоби захисту інформації, які використовуються в МПД для забезпечення безпеки державних інформаційних ресурсів, повинні мати сертифікат відповідності або експертний висновок, отримані в установленому порядку.

Сертифікат відповідності надається згідно з Порядком проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення, затвердженим наказом Держстандарту України та ДСТСЗІ СБ України від 9 липня 2001 р. № 329/32 і зареєстрованим у Міністерстві юстиції України 26 липня 2001 р. за № 640/5831, а експертний висновок - згідно з Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом ДСТСЗІ СБ України від 29 грудня 1999 р. № 62 і зареєстрованим у Міністерстві юстиції України 24 січня 2000 р. за № 40/4261.

У разі відсутності на час створення КСЗІ таких документів сертифікація або державна експертиза зазначених засобів на відповідність вимогам із захисту інформації здійснюється під час проведення державної експертизи КСЗІ.

Розроблення, виробництво, впровадження та обслуговування КСЗІ здійснюється оператором МПД самостійно за умови наявності в нього ліцензії на провадження відповідних видів робіт або із залученням інших підприємств-ліцензіатів у галузі захисту інформації.

Для організації робіт із розроблення, виробництва, впровадження та обслуговування КСЗІ, контролю за станом захищеності державних інформаційних ресурсів у МПД наказом керівника підприємства, яке є оператором МПД, визначається відповідальний підрозділ або відповідальна особа.

Контроль за забезпеченням захисту державних інформаційних ресурсів в ITC здійснюється Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України і полягає у перевірці виконання власниками АС та операторами МПД вимог нормативно-правових актів і нормативних документів з технічного та криптографічного захисту інформації.

Власники АС та оператори МПД повинні повідомляти ДСТСЗІ

СБ України про виявлені ними спроби та факти здійснення несанкціонованих дій щодо державних інформаційних ресурсів.

Оператори МПД повинні надавати власнику АС відомості про виявлені ними спроби та факти здійснення несанкціонованих дій в мережах передачі даних щодо інформації, яка йому належить.

9. Правові основи захисту інформації в інформаційно-телекомунікаційних системах

Питання лекції:

1. Законодавство України про захист інформації в інформаційно-телекомунікаційних системах.

2. Інформаційно-телекомунікаційні системи. Обробка інформації, несанкціонований доступ, витік інформації.

3. Відносини між суб'єктами в процесі обробки інформації в інформаційно-телекомунікаційній системі.

4. Відповідальність за порушення законодавства про захист інформації в інформаційно-телекомунікаційних системах.

5. Формування концепції захисту інформації в конкретній інформаційно-телекомунікаційній системі.

Інноваційна спрямованість сучасної економічної діяльності, інтеграція до глобальних процесів розвитку інформаційного суспільства потребує відповідного правового забезпечення.

На сьогодні дослідження науковців спрямовуються саме на роз криття новітніх інформаційних процесів та їх правової регламентації. Не є винятком і питання правового регулювання захисту інформації в інформаційно-телекомунікаційних системах.

1. Законодавство України про захист інформації в інформаційно-телекомунікаційних системах

На сьогодні відносини, що виникають з приводу захисту інформації в інформаційно-телекомунікаційних системах, регулюються Законом України "Про захист інформації в автоматизованих системах" від 05.07.94 р. (нова редакція Закону "Про захист інформації в інформаційно-телекомунікаційних системах" від 31 травня 2005 року № 2594-ГУ, набрала чинності з 1 січня 2006 року). Закон регулює відносини у сфері захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі система). Дія зазначеного Закону поширюється на будь-яку інформацію, що обробляється в автоматизованих системах.

Відносини, що виникають з приводу захисту інформації в інформаційно-телекомунікаційних системах, також частково регулюються Законом України "Про електронні документи та електронний документообіг" від 22.05.2003 р. Предметом правового регулювання даного Закону є відносини, що виникають у процесі створення, відправлення, передавання, одержання, зберігання, оброблення, використання та знищення електронних документів.

На сьогодні питання захисту інформації в інформаційно-телекомунікаційних системах окрім Закону України "Про захист інформації в інформаційно-телекомунікаційних системах" та інших законів регулюються також низкою підзаконних нормативно-правових актів.

Кабінет Міністрів України Постановою від 13 березня 2002 р. № 281 уповноважив Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (Законом України "Про Державну службу спеціального зв'язку та захисту інформації України" від 23 лютого 2006 року на базі Департаменту спеціальних телекомунікаційних систем та захисту інформації та відповідних підрозділів Служби безпеки України утворено Державну службу спеціального зв'язку та захисту інформації України) здійснювати управління захистом інформації в автоматизованих системах відповідно до Закону України "Про захист інформації в автоматизованих системах".

Так, наприклад, Кабінет Міністрів України Постановою від 2 серпня 1996 р. № 898 "Про створення Єдиної державної автоматизованої паспортної системи" започаткував створення Єдиної державної автоматизованої паспортної системи (далі - Система), яка забезпечуватиме видачу громадянам паспортів, що оформлюватимуться за єдиною технологією, та облік громадян за місцем проживання із застосуванням комп'ютерної мережі на єдиних принципах їх ідентифікації (із використанням особистих (ідентифікаційних) номерів громадян, відцифрованого образу осіб і біометричної ідентифікації) і взаємодії з базами даних інших інформаційних систем (як вітчизняних, так і іноземних). Передбачалося, що Система входитиме складовою частиною до Державного реєстру фізичних осіб.

Постановою Кабінету Міністрів України від 29 квітня 2004 р. № 573 було затверджено Положення про Головний обчислювальний центр Єдиної державної автоматизованої паспортної системи. Зазначеним Положенням зокрема визначалося, що основними завданнями Головного обчислювального центру є серед інших "впровадження комплексної системи захисту інформації Єдиної державної автоматизованої паспортної системи і здійснення постійного контролю за дотриманням у ній інформаційної безпеки" .

Постанова Кабінету Міністрів України від 16 лютого 1998 р. № 180 "Про затвердження Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах" також регулювала відносини щодо обігу інформації (яка становить державну таємницю) в автоматизованих системах.

Постанова Кабінету Міністрів України від 8 червня 1998 р. № 832 визначала комплекс заходів щодо поетапного впровадження у Пенсійному фонді автоматизованого персоніфікованого обліку відомостей у системі загальнообов'язкового державного пенсійного страхування.

Пам'ятаємо також про створення і функціонування у Центральній виборчій комісії автоматизованої інформаційної системи "Вибори", яка застосовувалась у процесі підготовки і проведення виборів Президента України, народних депутатів України.

Питання функціонування конкретних автоматизованих систем у органах державної влади, як правило, визначаються відомчими нормативно-правовими актами.

Так, наприклад, у Міністерстві фінансів України розроблено Положення про роботу із засобами обчислювальної техніки та про доступ до інформаційних ресурсів Міністерства фінансів України (додаток до наказу Міністерства фінансів України від 01.04.2003 р. № 248).

Наказом МВС України від 02.09.98 р. № 659 затверджено Інструкцію про створення єдиної автоматизованої системи номерного обліку вогнепальної (стрілецької) зброї, яка зберігається й використовується в МВС, на об'єктах дозвільної системи та перебуває в особистому користуванні громадян.

2. Інформаційно-телекомунікаційні системи. Обробка інформації, несанкціонований доступ, витік інформації

Розуміння основних понять, що застосовуються у сфері захисту інформації в інформаційно-телекомунікаційних системах, дає можливість не лише правильно аналізувати суб'єктно-об'єктний склад відповідних правовідносин, а й дозволяє правильно використовувати їх під час усної відповіді і виконання практичних завдань студентами та слухачами. Законом України "Про захист інформації в інформаційно-телекомунікаційних системах" даються такі визначення основних понять:

блокування інформації в системі — дії, внаслідок яких унеможливлюється доступ до інформації в системі;

виток інформації — результат дій, внаслідок яких інформація в системі стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї;

власник інформації — фізична або юридична особа, якій належить право власності на інформаці власник системи — фізична або юридична особа, якій належить право власності на систему;

доступ до інформації в системі — отримання користувачем можливості обробляти інформацію в системі;

захист інформації в системі — діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі;

знищення інформації в системі — дії, внаслідок яких інформація в системі зникає;

інформаційна (автоматизована) система — організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;

інформаційно-телекомунікаційна система — сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдине ціле;

комплексна система захисту інформації — взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації;

користувач інформації в системі — фізична або юридична особа, яка в установленому законодавством порядку отримала право доступу до інформації в системі;

криптографічний захист інформації — вид захисту інформації, що реалізується шляхом перетворення інформації з використанням спеціальних (ключових) даних з метою приховування/віднов-лення змісту інформації, підтвердження її справжності, цілісності, авторства тощо;

несанкціоновані дії щодо інформації в системі — дії, що провадяться з порушенням порядку доступу до цієї інформації, установленого відповідно до законодавства;

обробка інформації в системі — виконання однієї або кількох операцій, зокрема: збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрації, приймання, отримання, передавання, які здійснюються в системі за допомогою технічних і програмних засобів;

порушення цілісності інформації в системі — несанкціоновані дії щодо інформації в системі, внаслідок яких змінюється її вміст;

порядок доступу до інформації в системі — умови отримання користувачем можливості обробляти інформацію в системі та правила обробки цієї інформації;

телекомунікаційна система — сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб;

технічний захист інформації — вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів унеможливлений витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації.

Доповнює перелік основних термінів у сфері захисту інформації в інформаційно-телекомунікаційних системах Наказ ДСТЗІ СБ України 24 грудня 2001 р. № 76, яким затверджено Порядок захисту державних шформаційних ресурсів в автоматизованих системах.

3. Відносини між суб'єктами в процесі обробки інформації в інформаційно-телекомунікаційній системі

Аналіз відносин, що виникають між суб'єктами в процесі обробки інформації в інформаційно-телекомунікаційних системах, дає можливість розкрити їх специфіку.

Об'єктами захисту в системі є інформація, що обробляється в ній, та програмне забезпечення, яке призначено для обробки цієї інформації.

Суб'єктами відносин, пов'язаних із захистом інформації в системах, є:

• власники інформації;

• власники системи;

• користувачі;

- уповноважений орган у сфері захисту інформації в системах (Державна служба спеціального зв'язку та захисту інформації України).

На підставі укладеного договору або за дорученням власник інформації може надати право розпоряджатися інформацією іншій фізичній або юридичній особі — розпоряднику інформації.

На підставі укладеного договору або за дорученням власник системи може надати право розпоряджатися системою іншій фізичній або юридичній особі — розпоряднику системи.

Статтею 4 Закону України "Про захист інформації в інформаційно-телекомунікаційних системах" визначені загальні підстави доступу до інформації в системі: "порядок доступу до інформації, перелік користувачів та їх повноваження стосовно цієї інформації визначаються власником інформації.

Порядок доступу до інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, перелік користувачів та їх повноваження стосовно цієї інформації визначаються законодавством.

У випадках, передбачених законом, доступ до інформації в системі може здійснюватися без дозволу її власника в порядку, встановленому законом".

Власник системи забезпечує захист інформації в системі в порядку та на умовах, визначених у договорі, який укладається ним із власником інформації, якщо інше не передбачено законом.

Власник системи на вимогу власника інформації надає відомості щодо захисту інформації в системі Відносини між власником системи та користувачем полягають у тому, що власник системи надає користувачеві відомості про правила і режим роботи системи та забезпечує йому доступ до інформації в системі відповідно до визначеного порядку доступу.

Відносини між власниками систем базуються на тому, що власник системи, яка використовується для обробки інформації з іншої системи, забезпечує захист такої інформації в порядку та на умовах, що визначаються договором, який укладається між власниками систем, якщо інше не встановлено законодавством.

Власник системи, яка використовується для обробки інформації з іншої системи, повідомляє власника зазначеної системи про виявлені факти несанкціонованих дій щодо інформації в системі.

Умови обробки інформації в системі визначаються власником системи відповідно до договору з власником інформації, якщо інше не передбачено законодавством.

Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством (див. попередню лекцію).

Для створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.

Відповідальність за забезпечення захисту інформації в системі покладається на власника системи.

Власник системи, в якій обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога Щодо захисту якої встановлена законом, утворює службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним.

Про спроби та/або факти несанкціонованих дій у системі щодо інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, власник системи повідомляє уповноважений орган у сфері захисту інформації.

Вимоги до забезпечення захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої передбачена законом, встановлюються Кабінетом Міністрів України.

Обов'язки уповноваженого органу у сфері захисту інформації в системах виконує центральний орган виконавчої влади у сфері криптографічного та технічного захисту інформації (Державна служба спеціального зв'язку та захисту інформації України).

Уповноважений орган у сфері захисту інформації в системах:

• розробляє пропозиції щодо державної політики у сфері захисту інформації та забезпечує її реалізацію в межах своєї компетенції;

• визначає вимоги та порядок створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;

• організовує проведення державної експертизи комплексних систем захисту інформації, експертизи та підтвердження відповідності засобів технічного і криптографічного захисту інформації;

• здійснює контроль за забезпеченням захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.

Державні органи в межах своїх повноважень за погодженням з уповноваженим органом у сфері захисту інформації встановлюють особливості захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.

Особливості захисту інформації в системах, які забезпечують банківську діяльність, встановлюються Національним банком України.

4. Відповідальність за порушення законодавства про захист інформації в інформаційно-телекомунікаційних системах

Особи, винні в порушенні порядку і правил захисту оброблюваної в ITC інформації, несуть дисциплінарну, адміністративну, кримінальну чи матеріальну відповідальність згідно з чинним законодавством України.

Зупинимося на окремих складах правопорушень у сфері захисту інформації в АС.

Кодекс України про адміністративні правопорушення було доповнено Законом України "Про внесення змін до деяких законодавчих актів України від 11 травня 2004 року" № 1703-ІУ статтею 212-6 "Здійснення незаконного доступу до інформації в автоматизованих системах".

Цією статтею передбачена адміністративна відповідальність за "здійснення незаконного доступу до інформації, яка зберігається, обробляється чи передається в автоматизованих системах". Санкція за дане правопорушення - накладення штрафу від п'яти до десяти неоподатковуваних мінімумів доходів громадян з конфіскацією засобів, що використовувалися для незаконного доступу, або без такої Та сама дія, вчинена особою, яку протягом року було піддано адміністративному стягненню за порушення, передбачене в частині першій статті 212-6, - тягне за собою накладення штрафу від десяти до двадцяти неоподатковуваних мінімумів доходів громадян з конфіскацією засобів, що використовувалися для незаконного доступу.

Законом України "Про внесення змін до Кримінального та Кримінально-процесуального кодексів України від 23 грудня 2004 року № 2289-ІУ статті 361, 361-2, 362, 363, 363-1 Кримінального кодексу України (КК України) були викладені у новій редакції. Передбачені даними статтями склади злочинів містять об'єкт, що безпосередньо стосується захисту інформації в АС.

Стаття 361 КК України "Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку" передбачає кримінальну відповідальність за "несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, що призвело до витоку, втрати, підробки, блокування інформації, спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації". За скоєння такого злочину передбачається санкція у вигляді штрафу від шестисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеження волі на строк від двох до п'яти років, або позбавлення волі на строк до трьох років, з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до двох років або без такого та з конфіскацією програмних та технічних засобів, за допомогою яких було вчинено несанкціоноване втручання, які є власністю винної особи Додатковими кваліфікуючими ознаками даного злочину є вчинення його повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду. Такі діяння (дії) караються позбавленням волі на строк від трьох до шести років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років та з конфіскацією програмних та технічних засобів, за допомогою яких було вчинено несанкціоноване втручання, які є власністю винної особи.

Стаття 361-2 КК України "Несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або на носіях такої інформації" передбачає, що "несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або на носіях такої інформації, створеної та захищеної відповідно до чинного законодавства, — караються штрафом від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян або позбавленням волі на строк до двох років з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані збут або розповсюдження інформації з обмеженим доступом, які є власністю винної особи.

Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, — караються позбавленням волі на строк від двох до п'яти років з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані збут або розповсюдження інформації з обмеженим доступом, які є власністю винної особи". Стаття 362 КК України "Несанкціоновані дії з інформацією, яка оброблюється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї" передбачає кримінальну відповідальність за несанкціоновані зміну, знищення або блокування інформації, яка оброблюється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах чи комп'ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї. Санкція за скоєння даного злочину - штраф від шестисот до тисячі неоподатковуваних мінімумів доходів громадян або виправні роботи на строк до двох років конфіскацією програмних або технічних засобів, за допомогою яких було вчинено несанкціоновані зміна, знищення або блокування інформації, які є власністю винної особи.

"Несанкціоновані перехоплення або копіювання інформації, яка оброблюється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або зберігається на носіях такої інформації, якщо це призвело до її витоку, вчинені особою, яка має право доступу до такої інформації, — караються позбавленням волі на строк до трьох років з позбавленням права обіймати певні посади або займатися певною діяльністю на той самий строк та з конфіскацією програмних чи технічних засобів, за допомогою яких було здійснено несанкціоновані перехоплення або копіювання інформації, які є власністю винної особи.

Дії, передбачені частиною першою або другою статті 362 КК України, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, - караються позбавленням волі на строк від трьох до шести років з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років та з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані дії з інформацією, які є власністю винної особи". Стаття 363 КК України "Порушення правил експлуатації електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них оброблюється передбачає, що "порушення правил експлуатації електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них оброблюється, якщо це заподіяло значну шкоду, вчинені особою, яка відповідає за їх експлуатацію, - караються штрафом від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до трьох років з позбавленням права обіймати певні посади чи займатися певною діяльністю на той самий строк". Стаття 363-1 КК України "Перешкоджання роботі електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку шляхом масового розповсюдження повідомлень електрозв'язку" передбачає кримінальну відповідальність за "умисне масове розповсюдження по відомлень електрозв'язку, здійснене без попередньої згоди адресатів, що призвело до порушення або припинення роботи електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку". Санкція -штраф від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеження волі на строк до трьох років.

"Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, якщо вони заподіяли значну шкоду, — караються обмеженням волі на строк до п'яти років або позбавленням волі на той самий строк, з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років та з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено масове розповсюдження повідомлень електрозв'язку, які є власністю винної особи". Згідно зі статтею 18 Закону України "Про захист інформації в автоматизованих системах", шкода, заподіяна суб'єктам відносин, що виникають під час захисту інформації в АС (власникам інформації чи уповноваженим ними особам; власникам АС чи уповноваженим ними особам; користувачам інформації; користувачам АС), внаслідок незаконного створення перешкод для доступу до інформації, витоку чи втрати інформації в АС, відшкодовується особами, яких визнано винними в цьому.

5. Формування концепції захисту інформації в конкретній інформаційно-телекомунікаційній системі

Нормативні документи, що визначають особливості захисту інформації в конкретній автоматизованій системі, мають розроблятися на підставі і з урахуванням положень таких державних стандартів:

НД ТЗІ 1.1-002-99. Загальних положень щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу, затверджених наказом ДСТСЗІ від 28.04.99 № 22 "Про затвердження і введення в дію нормативних документів";

НД ТЗІ 2.5-005-99. Класифікації автоматизованих систем і стандартних функціональних профілів захищеності оброблюваної інформації від несанкціонованого доступу, затвердженої наказом ДСТСЗІ від 28.04.99 №22;

НД ТЗІ 2.5-004-99. Критеріїв оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу, затверджених наказом ДСТСЗІ від 28.04.99 № 22;

НД ТЗІ 1.1-003-99. Термінології в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу, затвердженої наказом ДСТСЗІ від 28.04.99 № 2

Згідно з НД ТЗІ 2.5-005-99. Класифікацією автоматизованих систем і стандартних профілів захищеності оброблюваної інформації від несанкціонованого доступу автоматизовані системи розподіляють на три класи: клас "1" - одномашинний однокористувачевий комплекс; клас "2" - локалізований багатомашинний багатокористува-чевий комплекс; клас "З" - розподілений машинний багатокористувачевий комплекс, у якому передання інформації здійснюється через незахищене середовище (глобальну мережу).

Прикладом індивідуального нормотворення у сфері захисту інформації в АС може бути Комплексна система захисту інформації в автоматизованій системі Міністерства та Інструкція користувача автоматизованої системи 3 класу, які затверджені Наказом Міністерства економіки та з питань європейської інтеграції України від 23.04.2002 р. № 121 "Про заходи щодо захисту конфіденційної і відкритої інформації, що циркулює в автоматизованій системі Міністерства". У зазначених документах використано принцип, який є актуальним не лише для Міністерства економіки та з питань європейської інтеграції України, а й для інших органів державної влади. Зокрема, зазначається, що широке застосування програмно-технічних обчислювальних засобів імпортного походження при приєднані їх до Інтернету принципово унеможливлює здійснити надійний захист інформації, що належить державі. У таких умовах забезпечення конфіденційності, цілісності і доступності інформації можливе лише в разі фізичного відокремлення автоматизованої системи, де циркулює інформація, яка потребує захисту, від системи, яка приєднана до Інтернету.

Характеристики

Список файлов книги