ПОЛОЖЕННЯ про технічний захист інформації в Україні

1. Це Положення визначає правові та організаційні засади технічного захисту важливої для держави, суспільства і особи інформації, охорона якої забезпечується державою відповідно до законодавства.

2. Правову основу технічного захисту інформації в Україні становлять Конституція України, закони України, акти Президента України та Кабінету Міністрів України, нормативно-правові акти Служби безпеки України, Адміністрації Державної служби спеціального зв'язку та захисту інформації України, інших державних органів, міжнародні договори України, згода на обов'язковість яких надана Верховною Радою України, з питань технічного захисту інформації, а також це Положення.

3. Державна політика технічного захисту інформації формується згідно із законодавством і реалізується Державною службою спеціального зв'язку та захисту інформації України (далі - Держспецзв'язку України) у взаємодії з органами, щодо яких здійснюється ТЗІ.

4. Організація технічного захисту інформації в органах, щодо яких здійснюється ТЗІ, покладається на їх керівників.

5. Організаційно-технічні принципи, порядок здійснення заходів з технічного захисту інформації, порядок контролю у цій сфері, характеристики загроз для інформації, норми та вимоги з технічного захисту інформації, порядок атестації та експертизи комплексів технічного захисту інформації визначаються нормативно-правовими актами, прийнятими в установленому порядку відповідними органами.

Нормативно-правові акти з технічного захисту інформації є обов'язковими для виконання всіма суб'єктами системи технічного захисту інформації.

7. Суб'єктами системи технічного захисту інформації є:

· Держспецзв'язку України;

· органи, щодо яких здійснюється ТЗІ;

· науково-дослідні та науково-виробничі установи Держспецзв'язку України, державні підприємства, що перебувають в управлінні Держспецзв'язку України та виконують завдання з питань технічного захисту інформації;

· військові частини, підприємства, установи та організації всіх форм власності й громадяни-підприємці, які провадять діяльність з технічного захисту інформації за відповідними дозволами або ліцензіями;

· навчальні заклади з підготовки, перепідготовки та підвищення кваліфікації фахівців з технічного захисту інформації.

11. Основними завданнями органів, щодо яких здійснюється ТЗІ, є:

· забезпечення технічного захисту інформації згідно з вимогами нормативно-правових актів з питань технічного захисту інформації;

· видання у межах своїх повноважень нормативно-правових актів із зазначених питань;

· здійснення контролю за станом технічного захисту інформації.

12. Органи, щодо яких здійснюється ТЗІ, відповідно до покладених на них завдань:

· створюють або визначають підрозділи, на які покладається забезпечення технічного захисту інформації та контроль за його станом, узгоджують основні завдання та функції цих підрозділів;

· видають за погодженням з Адміністрацією Держспецзв'язку України та впроваджують нормативно-правові акти з питань технічного захисту інформації;

· погоджують з Адміністрацією Держспецзв'язку України проведення підприємствами, установами, організаціями тих науково-дослідних, дослідно-конструкторських і дослідно-технологічних робіт, спрямованих на розвиток нормативно-правової та матеріально-технічної бази системи технічного захисту інформації, які здійснюються за рахунок коштів державного бюджету;

· створюють або визначають за погодженням з Адміністрацією Держспецзв'язку України підприємства, установи та організації, що забезпечують технічний захист інформації;

· забезпечують підготовку, перепідготовку та підвищення кваліфікації кадрів з технічного захисту інформації;

· надають Адміністрації Держспецзв'язку України за його запитами відомості про стан технічного захисту інформації.

13. Основними завданнями інших суб'єктів системи технічного захисту інформації є:

· дослідження загроз для інформації на об'єктах, функціонування яких пов'язано з інформацією, що підлягає охороні;

· створення та виробництво засобів забезпечення технічного захисту інформації;

· розроблення, впровадження, супроводження комплексів технічного захисту інформації;

· підвищення кваліфікації фахівців з технічного захисту інформації.

14. Суб'єкти системи технічного захисту інформації мають право співробітничати з підприємствами, установами, організаціями іноземних держав, які здійснюють аналогічну діяльність, на основі міжнародних договорів України, згода на обов'язковість яких надана Верховною Радою України, та інших актів законодавства України.

15. Матеріально-технічна база системи технічного захисту інформації складається з технічних засобів загального призначення та спеціальних технічних засобів.

Технічні засоби загального призначення повинні мати документ, що засвідчує їх відповідність вимогам нормативно-правових актів з технічного захисту інформації, одержаний у порядку, що встановлюється Адміністрацією Держспецзв'язку України і Державним комітетом України з питань технічного регулювання та споживчої політики.

16. Техніко-економічне обгрунтування, проектування будівництва та реконструкції об'єктів, проведення наукових досліджень та створення інформаційних систем, зразків озброєнь, військової та спеціальної техніки, критичних і небезпечних технологій виконуються за завданнями, до яких включаються вимоги з технічного захисту інформації, якщо під час виконання передбачених завданням робіт та у процесі функціонування зазначених об'єктів, систем, зразків і технологій циркулюватиме інформація, охорона якої забезпечується державою.

Під час віднесення замовником таких робіт до особливо важливих та створення інформаційних систем державних органів завдання та результати приймання їх етапів погоджуються з Адміністрацією Держспецзв'язку України. Фінансування створення цих систем здійснюється після такого погодження.

Контроль у сфері технічного захисту інформації полягає в перевірці виконання вимог цього Положення, інших нормативно-правових актів з питань технічного захисту інформації та в оцінюванні захищеності інформації на об'єкті, де вона циркулюватиме або циркулює.

Оцінювання захищеності інформації здійснюється шляхом атестації або експертизи комплексів технічного захисту інформації та інспекційних перевірок. За результатами атестації або експертизи комплексів технічного захисту інформації визначається можливість введення в експлуатацію об'єкта, де циркулюватиме інформація, охорона якої забезпечується державою.

4.15. Основні положення Закону України "Про захист інформації в автоматизованих системах".

Метою цього Закону євстановлення основ регулювання правових відносин щодо захисту інформації в автоматизованих системах за умови дотримання права власності громадян України і юридичних осіб на інформацію та права доступу до неї, права власника інформації на її захист, а також встановленого чинним законодавством обмеження на доступ до інформації. Дія Закону поширюється на будь-яку інформацію, що обробляється в автоматизованих системах.

Закон визначає:

· Відносини між суб'єктами в процесі обробки інформації в АС.

· Загальні вимоги щодо захисту інформації в АС.

· Організація захисту інформації в АС.

· Відповідальність за порушення закону про захист інформації в АС.

· Міжнародну діяльність в галузі захисту інформації в АС.

· Термінологію

Об'єктами захисту є інформація, що обробляється в АС, права власників цієї інформації та власників АС, права користувача. Захисту підлягає будь-яка інформація в АС, необхідність захисту якої визначається її власником або чинним законодавством.

Суб'єктами відносин, пов'язаних з обробкою інформації в АС, є:

· власники інформації чи уповноважені ними особи;

· власники АС чи уповноважені ними особи;

· користувачі інформації;

· користувачі АС.

Захист інформації в АС забезпечується шляхом:

· дотримання суб'єктами правових відносин норм, вимог та правил організаційного і технічного характеру щодо захисту оброблюваної інформації;

· використання засобів обчислювальної техніки, програмного забезпечення, засобів зв'язку і АС в цілому, засобів захисту інформації, які відповідають встановленим вимогам щодо захисту інформації (мають відповідний сертифікат);

· перевірки відповідності засобів обчислювальної техніки, програмного забезпечення, засобів зв'язку і АС в цілому встановленим вимогам щодо захисту інформації (сертифікація засобів обчислювальної техніки, засобів зв'язку і АС);

· здійснення контролю щодо захисту інформації.

Встановлення вимог і правил щодо захисту інформації

· Вимоги і правила щодо захисту інформації, яка є власністю держави, або інформації, захист якої гарантується державою, встановлюються державним органом, уповноваженим Кабінетом Міністрів України.

Умови обробки інформації

· Інформація, яка є власністю держави, або інформація, захист якої гарантується державою, повинна оброблятись в АС, що має відповідний сертифікат (атестат) захищеності, в порядку, який визначається уповноваженим Кабінетом Міністрів України органом.

У процесі сертифікації (атестації) цих АС здійснюються також перевірка, сертифікація (атестація) розроблених засобів захисту інформації.

4.16. Закон України "Про захист інформації в автоматизованих системах". Об'єкти захисту. Суб'єкти відносин. Доступ до інформації. Шляхи забезпечення захисту інформації. Умови обробки інформації в автоматизованій системі.

Об'єкти захисту в системі

Об'єктами захисту в системі є інформація, що обробляється в ній, та програмне забезпечення, яке призначено для обробки цієї інформації.

Суб'єкти відносин

Суб'єктами відносин, пов'язаних із захистом інформації в системах, є:

- власники інформації;

- власники системи;

- користувачі;

- спеціально уповноважений центральний орган виконавчої влади з
питань організації спеціального зв'язку та захисту інформації і
підпорядковані йому регіональні органи.

На підставі укладеного договору або за дорученням власник інформації може надати право розпоряджатися інформацією іншій фізичній або юридичній особі - розпоряднику інформації.

На підставі укладеного договору або за дорученням власник системи може надати право розпоряджатися системою іншій фізичній або юридичній особі - розпоряднику системи.