Законодавчі акти і нормативні документи України щодо ЗІ Законодавчі заходи щодо ЗІ полягають в виконанні існуючих в державі або у введенні нових законів, положень, постанов та інструкцій, які регулюють юридичну відповідальність посадових осіб – користувачів та обслуговуючого технічного персоналу за витік, втрату або модифікацію довіреної йому інформації, яка підлягає захисту, в тому числі за спроби виконувати аналогічні дії за межами своїх повноважень, а також відповідальність сторонніх осіб за спробу навмисного несанкціонованого доступу до інформації.
Мета законодавчих заходів – попередження та стримання потенціальних порушників.
В Україні вже прийнято цілий ряд законодавчих актів і нормативних документів, пов'язаних з інформацією, у тому числі і з її захистом:
· Закон України «Про інформацію»;
· Закон України «Про захист інформації в автоматизованих системах»;
· Закон України «Про державну таємницю»;
· Закон України «Про науково-технічну інформацію», від 25.06.93;
· Закон України «Про Національну програму інформатизації», від 04.02.98;
· Закон України «Про Концепцію Національної програми інформатизації», від 04.02.98;
· Концепція (основи державної політики) національної безпеки України;
· Концепція технічного захисту інформації в Україні;
· Положення про порядок здійснення криптографічного захисту інформації в Україні;
· НД ТЗІ 1.1-002-98. Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу;
· Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу. - НД ТЗІ 1.1-001-98, ДСТСЗІ СБ України, Київ, 1998;
· НД ТЗІ 2.2-001-98. Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу;
· Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.-НД ТЗІ 2.2.-002 -98, ДСТСЗІ СБ України, Київ, 1998.
Основним інформаційним законом є закон України «Про інформацію» [5], прийнятий 2 листопада 1992 року. Він містить 54 статті в шести розділах. Цей Закон закріплює право громадян України на інформацію, закладає правові основи інформаційної діяльності. Він містить багато відомостей про інформацію, які для кожного громадянина України можуть виявитися дуже корисними.
Насамперед, слід зазначити, що тут у статті 1 дається визначення інформації, що є офіційним і повинно використовуватися саме в такій формі. Під інформацією цей Закон розуміє документовані чи привселюдно оголошені відомості про події і явища, що відбуваються в суспільстві, державі і навколишньому природному середовищі. Далі визначаються мета Закону, сфера його дій, основні принципи інформаційних відносин. Це наступні принципи:
* відкритість
* доступність інформації і свобода обміну
* об'єктивність і правдивість інформації
* повнота і точність інформації
* законність одержання, використання, поширення і збереження інформації.
В статті 6 формулюється державна інформаційна політика - сукупність основних напрямків і способів діяльності держави по одержанню, використанню, поширенню і збереженню інформації. Головними напрямками і способами державної інформаційної політики є:
* забезпечення доступу громадян до інформації;
* створення національних систем і мереж інформації;
* посилення технічних, фінансових, організаційних, правових і наукових основ інформаційної діяльності;
* забезпечення ефективного використання інформації;
* сприяння постійному відновленню, збільшенню і збереженню національних інформаційних ресурсів;
* створення загальної системи охорони інформації;
* сприяння міжнародному співробітництву в області інформації і гарантування інформаційного суверенітету України.
В статті 12 дається визначення інформаційної діяльності - сукупності дій, спрямованих на задоволення інформаційних потреб громадян, юридичних осіб і держави. Визначені також основні напрямки інформаційної діяльності (стаття 13), основні види інформаційної діяльності (стаття 14). В статті 18 перелічуються основні види інформації, що вже наводилися вище і далі, в статтях 19-25 даються визначення перерахованих видів інформації.
Нарешті, в статті 27 визначено поняття документа в інформаційних відносинах. Документ – це передбачена законом матеріальна форма одержання, збереження, використання і поширення інформації шляхом її фіксації на папері, магнітної, кіно-, відео-, чи фотоплівці на іншому носії. По режиму доступу до інформації вона поділяється на відкриту інформацію та інформацію з обмеженим доступом (стаття 28). У свою чергу, інформація з обмеженим доступом підрозділяється на конфіденційну і таємну.
Конфіденційна інформація – це відомості, якими володіють, чи користаються та розпоряджаються окремі фізичні чи юридичні особи і поширюються за їхнім бажанням відповідно до передбачених ними умовами. Помітимо, що в області захисту інформації поняття конфіденційності має інший зміст і визначається по-іншому.
Таємна інформація – це інформація, що містить відомості, що складають державну або іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству і державі.
Природно, йдучи по шляху конкретизації, ми приходимо до закону «Про науково-технічну інформацію» [5], що був прийнятий ще 25 червня 1993 року.
Цей Закон визначає основи державної політики в галузі науково-технічної інформації, порядок її формування і реалізації в інтересах науково-технічного, економічного і соціального прогресу країни. Метою Закону є створення в Україні правової бази для одержання та використання науково-технічної інформації.
Законом регулюються правові й економічні відносини громадян, юридичних осіб, держави, що виникають при створенні, одержанні, використанні та поширенні науково-технічної інформації, а також визначаються правові форми міжнародного співробітництва в цій галузі.
І, нарешті, зупинимося на основному законі, що безпосередньо стосується захисту інформації – це «Закон про захист інформації в автоматизованих системах» [5], прийнятий 5 липня 1994 року. Він містить 20 статей в шести розділах і його необхідно також розглянути більш докладно.
Метою цього Закону є встановлення основ регулювання правових відносин щодо захисту інформації в автоматизованих системах за умови дотримання права власності громадян України і юридичних осіб на інформацію та права доступу до неї, права власника інформації на її захист, а також встановленого чинним законодавством обмеження на доступ до інформації.
В загальних положеннях наведено визначення основних термінів: автоматизована система (АС), інформація в АС, обробка інформації, захист інформації, несанкціонований доступ, розпорядник АС, персонал АС, користувач АС, порушник, витік інформації, втрата інформації, підробка інформації, блокування інформації, порушення роботи АС. В наступних статтях (2-6) визначаються об’єкти захисту і суб’єкти відносин, а також право власності на інформацію під час її обробки, гарантія юридичного захисту і доступ до інформації.
В іншому розділі визначаються (ст. 7-9) відносини між власником інформації та власником АС, відносини між власником інформації та користувачем, відносини між власником АС і користувачем АС. Треті розділ визначає загальні вимоги щодо захисту інформації – в статтях 10-12 визначаються забезпечення захисту інформації в АС, встановлення вимог і правил щодо захисту інформації, умови обробки інформації. В четвертому розділі (ст. 13-16) визначені: організація захисту інформації в АС: політика в галузі захисту інформації, державне управління захистом інформації в АС, служби захисту інформації в АС, фінансування робіт. В п'ятому та шостому розділах подаються: відповідальність за порушення порядку і правил захисту інформації, відшкодування шкоди, взаємодія в питаннях захисту інформації в АС, забезпечення інформаційних прав України.
Накінец, дуже важливим, зокрема для захисту інформації, є також Закон України «Про державну таємницю» [5], прийнятий 21 січня 1994 року. Він містить 38 статей, розподілених на 5 розділів. У першому розділі подається визначення державної таємниці – це вид таємної інформації, що охоплює відомості в сфері оборони, економіки, зовнішніх відносин, державної безпеки й охорони правопорушень, розголошення яких може завдати шкоду життєво важливим інтересам України і які визнані в порядку, встановленим цим Законом, державною таємницею і підлягають охороні з боку держави. Далі встановлено категорію секретності. В іншому розділі встановлені сфері, інформація з яких може бути віднесена до державної таємниці: 1) сфера оборони; 2) сфера економіки; 3) зовнішні відносини; 4) сфера державної безпеки й охорони правопорушень. В третьому розділі визначається порядок засекречування інформації, зокрема надання грифу секретності (таємна (Т), цілком таємна (ЦТ), особливої важливості (ОВ)), а також рядка їх збереження: Т – 5 років, ЦТ – 10, ОВ – 30. В наступних розділах визначені порядок охорони державної таємниці, а також відповідальність за порушення в діяльності з державною таємницею.
Положення «Про технічний захист інформації» в Україні (затверджене Указом Президента України від 27.09.1999р. №1229/99) розкриває порядок технічного захисту інформації (ТЗІ), що є важливої для держави, суспільства й особистості, охорона якої забезпечується державою відповідно до законодавства. Під технічним захистом інформації розуміється діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності і доступності інформації.
Під конфіденційністю інформації розуміється здатність інформації бути захищеної від несанкціонованого ознайомлення, під цілісністю – здатність інформації бути захищеної від несанкціонованого перекручування, чи руйнування знищення, під доступністю – здатність інформації бути захищеної від несанкціонованого блокування.
Головним органом по здійсненню державної політики технічного захисту інформації визначений Департамент спеціальних телекомунікаційних систем і захисту інформації (ДСТСЗІ) Служби безпеки України, що є спадкоємцем Державного комітету з питань державних секретів, що виконував до цього функції технічного захисту. Даним Положенням регламентуються всі основні питання, зв'язані з організацією технічного захисту інформації в органах державної влади, органах місцевого самоврядування, органах керування Збройних Сил України і т.д. (органах, у відношенні яких здійснюється ТЗІ). Серед них організаційно-технічні принципи, порядок здійснення заходів для технічного захисту інформації, порядок організації контролю в цій сфері.
У положенні визначені завдання ДСТСЗІ, завдання органів, у відношенні яких здійснюється ТЗІ, причому до сфери компетенції останніх відноситься забезпечення технічного захисту інформації відповідно до вимог нормативно-правових актів з питань ТЗІ, видання в межах своїх повноважень нормативно-правових актів сфери ТЗІ, здійснення контролю за станом ТЗІ.
До основних завдань інших суб'єктів системи ТЗІ, визначених у Положенні, відносяться дослідження загроз інформації на об'єктах, функціонування яких зв'язане з інформацією, що підлягає охороні; створення і виробництво засобів забезпечення ТЗІ; розробка, упровадження, супровід комплексів ТЗІ; підвищення кваліфікації фахівців сфери ТЗІ.
Розробка, упровадження, атестація й експлуатація комплексів ТЗІ для власних нестатків здійснюється відповідними підрозділами органів, у відношенні яких здійснюється ТЗІ чи підприємствами. установами, організаціями, на які у встановленому порядку покладене забезпечення ТЗІ, при наявності в них відповідного дозволу. Оцінка захищеності інформації здійснюється шляхом атестації чи експертизи комплексів ТЗІ, а також інспекційних перевірок.
Положення «Про порядок здійснення криптографічного захисту інформації в Україні». затверджене Указом Президента України № 505 від 22.05.98р. (зі змінами, внесеними Указами від 15.09.98р. № 1019 і № 1229 від 27.09.99р.) визначає порядок здійснення криптографічного захисту інформації з обмеженим доступом, розголошення якої може заподіяти шкоди державі, суспільству чи особистості.
Державну політику в сфері криптографічного захисту реалізує Департамент спеціальних телекомунікаційних систем і захисту інформації Служби безпеки України (далі Департамент).
Державні організації створюють, купують, продають, увозять, вивозять, використовують криптосистеми за узгодженням з Департаментом. Подібна діяльність недержавних структур, що мають відповідну ліцензію, здійснюється на основі діючого законодавства.
Інформація, що містить державну таємницю, повинна захищатися дозволеними криптосистемами, що знаходяться в державній власності і мають сертифікат відповідності. Службова інформація може захищатися криптосистемами будь-якої власності.
Користувачі допускаються до роботи з криптосистемами тільки при наявності в них допуску до державного таємниці.
Міністерства й інші органи центральної влади видають свої інструкції на основі даного Положення.
Відповідальність за порушення Положення настає відповідно до чинного законодавства.
Інструкція «Про умови і правила проведення підприємницької діяльності (ліцензійні умови), зв'язаної з розробкою, виготовленням, увозом, вивозом, реалізацією і використанням засобів криптографічного захисту інформації, а також з наданням послуг по криптографічному захисті інформації і контроль за їхнім дотриманням» затверджене наказом Ліцензійної палати України і Департаменту спеціальних телекомунікаційних систем і захисту інформації Служби безпеки України № 104/81 від 17.11.98р.
Поширюються на всі об'єкти підприємницької діяльності, що працюють у даній сфері, поза залежністю від форми господарювання і форми власності.
Ліцензії видає Департамент при дотриманні фірмою, що претендує на ліцензію, наступних вимог:
· забезпечувати необхідний режим таємності;
· мати штатний персонал необхідної чисельності і кваліфікації;
· мати необхідні виробничі потужності і площі, потрібний вимірювальний інструмент;
· належну експлуатаційну документацію, графіки технічного обслуговування апаратури:
· вести повний облік проведених робіт, зберігати апаратуру в належних умовах;
· допускати повноважних представників Департаменту на свою територію і надавати всю необхідну документацію;
· негайно інформувати Департамент про події, що можуть сприяти витоку конфіденційної інформації про секретні роботи підприємства;
· інформувати Департамент про зміну профілю діяльності.
Контроль виконання ліцензійних умов здійснюється Департаментом і Ліцензійною палатою планово не частіше 1 разів на рік і додатково по виникненню необхідності.
У випадку порушення ліцензійних умов, видається розпорядження на усунення недоліків чи припиняється ліцензія (у писемній формі не пізніше 5 днів з часу ухвалення рішення). При повторному чи грубому порушенні ліцензія може бути анульована.
Ліцензія може бути відновлена на основі акта контрольної перевірки.
Кримінальний кодекс України теж має ряд статей, що регламентують відповідальність за розголошення чи крадіжку секретної інформації як звичайними, так і електронними засобами:
Стаття 57. Шпигунство. Передача чи збирання з метою передачі іноземній державі, іноземній організації чи їхнім представникам відомостей, що містять державну або військову таємницю, здійснену іноземцем чи особою без громадянства на шкоду інтересам України, карається позбавленням волі на термін від 10 до 15 років з конфіскацією майна.
Стаття 67. Розголошення державної таємниці. Розголошення відомостей, що складають державну таємницю, особам, якім ці відомості були довірені або стали відомі за службової необхідності при відсутності ознак державної зради чи шпигунства, карається позбавленням волі на термін від 2 до 5 років. Ті самі дії, якщо вони спричинили за собою тяжкі наслідки, караються позбавленням волі на термін від 5 до 8 років.
Стаття 68-1. Передача іноземним організаціям відомостей, що складають службову таємницю.Передача чи збирання з метою передачі іноземній державі, іноземній організації чи їхнім представникам економічних, науково-технічних чи інших відомостей, що складають службову таємницю, особою, якій ці відомості були довірені чи стали відомі за службової необхідності, карається позбавленням волі на термін до 3 років чи виправних робіт на термін до 2 років, або штрафом до 5,5 офіційно встановлених мінімальних розмірів зарплати. Ті ж дії, якщо вони спричинили за собою великий матеріальний збиток підприємств, організацій і установ чи заподіяли інші тяжкі наслідки – караються позбавленням волі на термін до 8 років.
Стаття 136. Порушення авторських прав.Випуск під своїм ім'ям чи інше присвоювання авторства на чужий добуток науки, культури і мистецтва, незаконне копіювання і поширення такого добутку – карається виправними роботами на термін до 2 років чи штрафом від 50 до 100 мінімальних розмірів зарплати.
Стаття 137. Порушення прав на об'єкт права інтелектуальної власності. Присвоєння авторства на чуже відкриття, винахід, корисну модель, промисловий зразок чи раціоналізаторську пропозицію або розголошення їхнього змісту без згоди автора до їхньої офіційної публікації – карається виправними роботами на термін до 2 років чи штрафом у розмірі 30 мінімальних розмірів зарплати.
Стаття 198-1. Порушення роботи автоматизованих систем.Навмисне вторгнення в роботу АС, що привело до зміни чи знищення інформації чи носіїв інформації, чи поширення програмних і технічних засобів, призначених для незаконного проникнення в АС і здатних привести до зміни чи знищення інформації чи її носіїв – карається позбавленням волі на термін до 2 років чи виправних робіт на той же термін, або штрафом у розмірі від 100 до 200 мінімальних розмірів зарплати. Ті самі дії, якщо вони спричинили за собою тяжкі наслідки, чи зроблені повторно, чи по змові з групою особ – карається позбавленням волі на термін до 5 років.
Контрольні запитання
1. Які законодавчі та інші нормативні документи України із захисту інформації вам відомі?
2. Закон України «Про інформацію».
3. Закон інформації «Про захист інформації в автоматизованих системах».
4. Закон України «Про державну таємницю».
5. Хто реалізує державну політику технічного захисту інформації в Україні?
6. Які статті Кримінального кодексу України регламентують відповідальність за шпигунство, розголошення державної таємниці?
7. Які статті Кримінального кодексу України регламентують відповідальність за передачу іноземним організаціям службової таємниці, порушення авторських прав, прав на об’єкт інтелектуальної власності та порушення роботи автоматизованої системи?
|