Законодавчі акти і нормативні документи щодо захисту інформації

Законодавчі заходи щодо ЗІ полягають у виконанні чин­них у державі або у введенні нових законів, положень, постанов та інструкцій, які регулюють юридичну відповідальність посадових осіб – користувачів та обслуговуючого технічного персоналу за витік, втра­ту або модифікацію довіреної йому інформації, яка підлягає захисту, в тому числі за спроби виконувати аналогічні дії за межами своїх повноважень, а також відповідальність сторонніх осіб за спробу на­вмисного несанкціонованого доступу до інформації.

Мета законодавчих заходів – попередження та отримання потен­ціальних порушників.

В Україні вже прийнято цілий ряд законодавчих актів і нормативних документів, пов’язаних з інформацією, у тому числі і з її захистом:

Ø Закон України “Про інформацію” від 02.09.92;

Ø Закон України “Про захист інформації в автоматизованих сис­темах” від 05.07.94;

Ø Закон України “Про державну таємницю” від 21.01.94;

Ø Закон України “Про науково-технічну інформацію” від 25.06.93;

Ø Закон України “Про Національну програму інформатизації” від 04.02.98;

Ø Закон України “Про Концепцію Національної програми інформатизації” від 04.02.98;

Ø Концепція технічного захисту інформації в Україні від 27.09.99 року №1126;

Ø НД ТЗІ 1.1-003-99. Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу;

Ø НД ТЗІ 1.1-002-99. Загальні положення щодо захисту інформа­ції в комп’ютерних системах від несанкціонованого доступу. – ДСТСЗІ СБ України, Київ, 1998;

Ø НД ТЗІ 2.2-004-99. Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу;

Ø НД ТЗІ 3.7.-001-99. Класифікація автоматизованих систем і стан­дартні функціональні профілі захищеності опрацьованої інфор­мації від несанкціонованого доступу. – ДСТСЗІ СБ України, Київ, 1998.

Ø НД ТЗІ 3.7-001-99. Методичні вказівки щодо розробки техніч­ного завдання на створення системи захисту інформації авто­матизованої системи. – Положення про технічний захист інфо­рмації в Україні від 27.09.99 року № 1299.

Основним інформаційним законом є закон України “Про інфор­мацію”, прийнятий 2 листопада 1992 року. Він містить 54 статті в шести розділах. Цей Закон закріплює право громадян України на інформацію, закладає правові основи інформаційної діяльності.

Насамперед слід зазначити, що у статті 1 Закону дається офіційне визначення інформації. Під інформацією цей Закон розуміє докумен­товані чи привселюдно оголошені відомості про події і явища, що відбуваються в суспільстві, державі і навколишньому природному середовищі. Далі визначаються мета Закону, сфера його дії, основні принципи інформаційних відносин, а саме:

Ø відкритість;

Ø доступність інформації і свобода обміну;

Ø об’єктивність і правдивість інформації;

Ø повнота і точність інформації;

Ø законність отримання, використання, поширення і збереження інформації.

У статті 6 формулюється поняття державної інформаційної політики – це сукупність основних напрямків і способів діяльності держави з отримання, використання, поширення і збереження інформації. Головними напрямками і способами державної інформаційної політики є:

Ø забезпечення доступу громадян до інформації;

Ø створення національних систем і мереж інформації;

Ø посилення технічних, фінансових, організаційних, правових і наукових основ інформаційної діяльності;

Ø забезпечення ефективного використання інформації;

Ø сприяння постійному відновленню, збільшенню і збереженню національних інформаційних ресурсів;

Ø створення загальної системи охорони інформації;

Ø сприяння міжнародній співпраці в галузі інформації і гарантування інформаційного суверенітету України.

У статті 12 дається визначення інформаційної діяльності як сукуп­ності дій, спрямованих на задоволення інформаційних потреб громадян, юридичних осіб і держави. Визначено також основні напрямки інфор­маційної діяльності (стаття 13), основні види інформаційної діяльно­сті (стаття 14). У статті 18 подано класифікацію основних видів інфор­мації, у статтях 19 – 25 даються визначення видів інформації.

Нарешті, у статті 27 визначено поняття документа в інформаційних відносинах. Документ – це передбачена законом матеріальна форма отримання, збереження, використання і поширення інформації шля­хом її фіксації на папері, магнітній, кіно-, відео-, фотоплівці чи на іншому носії. За режимом доступу до інформації вона поділяється на відкриту інформацію та інформацію з обмеженим доступом (стаття 28). У свою чергу, інформація з обмеженим доступом поділяється на кон­фіденційну і таємну.

Конфіденційна інформація – це відомості, якими володіють чи користуються та розпоряджаються окремі фізичні чи юридичні особи і які поширюються за їхнім бажанням відповідно до передбачених ними умов. Наголосимо, що у сфері захисту інформації поняття кон­фіденційності має інший зміст і визначається по-іншому.

Таємна інформація – це інформація, яка містить відомості, що складають державну або іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству і державі.

Природно, йдучи по шляху конкретизації, ми приходимо до Зако­ну України “Про науково-технічну інформацію”, що був прийнятий ще 25 червня 1993 року.

Цей Закон визначає основи державної політики в галузі науково-технічної інформації, порядок її формування і реалізації в інтересах науково-технічного, економічного і соціального прогресу країни. Метою Закону є створення в Україні правової бази для отримання та використання науково-технічної інформації.

Законом регулюються правові й економічні відносини громадян, юридичних осіб, держави, що виникають при створенні, отриманні, ви­користанні та поширенні науково-технічної інформації, а також визна­чаються правові форми міжнародної співпраці в цій галузі.

І, нарешті, зупинимося на основному законі, що безпосередньо стосується захисту інформації – це Закон “Про захист інформації в автоматизованих системах”, прийнятий 5 липня 1994 року. Він містить 20 статей у шести розділах.

Метою цього Закону є встановлення основ регулювання правових відносин щодо захисту інформації в автоматизованих системах за умови дотримання права власності громадян України і юридичних осіб на інформацію та права доступу до неї, права власника інформа­ції на її захист, а також встановленого чинним законодавством обмеження на доступ до інформації.

У загальних положеннях наведено визначення основних термінів: автоматизована система (АС), інформація в АС, опрацювання інформації, захист інформації, несанкціонований доступ, розпорядник АС, персонал АС, користувач АС, порушник, витік інформації, втрата інформації, підробка інформації, блокування інформації, порушення роботи АС. В наступних статтях (2 – 6) визначаються об’єкти захисту і суб’єкти відносин, а також право власності на інформацію під час її опрацювання, гарантія юридичного захисту і доступ до інформації.

У другому розділі (ст. 7 – 9) визначаються відносини між власни­ком інформації та власником АС, відносини між власником інформації та користувачем, відносини між власником АС і користувачем АС. Третій розділ визначає загальні вимоги щодо захисту інформації — в статтях 10 – 12 визначаються шляхи забезпечення захисту інформації в АС, вимоги і правила щодо захисту інформації, умови опрацювання інформації. В четвертому розділі (ст. 13 – 16) визначено організацію захисту інформації в АС: політика в галузі захисту інформації, дер­жавне управління захистом інформації в АС, служби захисту інформації в АС, фінансування робіт. У п’ятому та шостому розділах ідеться про відповідальність за порушення порядку і правил захисту інформації, відшкодування шкоди, взаємодію в питаннях захисту інформації в АС, забезпечення інформаційних прав України.

Дуже важливим, зокрема для захисту інформації, є також Закон України “Про державну таємницю”, прийнятий 21 січня 1994 року (нова редакція – зі змінами та доповненнями – прийнята 21 вересня 1999 pоку). Він містить 38 статей у 5 розділах. У першому розділі подається визначення державної таємниці – це вид таємної інформації, що охоплює відомості у сфері оборони, економіки, науки і техніки, зовнішніх відносин, державної безпеки та охорони правопорядку, розголошення яких може завдати шкоди національній безпеці України та які визнані у порядку, встановленому цим Законом, державною таємницею і підлягають охороні державою. У другому розділі встановлено сфери, інформація з яких може бути віднесена до державної таємниці: 1) сфера оборони; 2) сфера економіки, науки і техніки; 3) зовнішні відносини; 4) сфера державної безпеки й охорони право­порядку. У третьому розділі визначається порядок засекречування та розсекречування матеріальних носіїв інформації, зокрема надання грифа секретності (таємно (Т), цілком таємно (ЦТ), особливої важли­вості (ОВ)), а також строки їх засекречування. У наступних розділах визначено порядок охорони державної таємниці, а також відповідаль­ність за порушення законодавства про державну таємницю.