Основні положення нормативно-правої бази України у галузі технічного захисту інформації

Основні засади державної політики у галузі ТЗІ визначені в концепції технічного захисту інформації в Україні (далі – Концепції).

Метою розробки Концепції є забезпечення єдності принципів формування і проведення такої політики в усіх сферах життєдіяльності особи, суспільства та держави (соціальній, політичній, економічній, військовій, екологічній, науково-технологічній, інформаційній тощо) і служити підставою для створення програм розвитку галузі ТЗІ в Україні.

У відповідності до Концепції стан ТЗІ в Україні обумовлюється ефективністю правових норм:

- регулювання в інформаційній сфері, зокрема у сфері захисту таємниць (крім державної), конфіденційної інформації та відкритої інформації, важливої для особи, суспільства та держави;

- регулювання питань проведення наукових досліджень, розроблення та виробництва засобів ТЗІ;

- створення систем сертифікації та експертизи засобів ТЗІ;

- атестації на відповідність вимогам ТЗІ об'єктів, робота яких пов'язана з інформацією, що підлягає технічному захисту.

Державна політика у сфері ТЗІ визначається пріоритетністю національних інтересів, має на меті унеможливлення реалізації загроз для інформації та здійснюється шляхом виконання положень Концепції, а також програм розвитку ТЗІ та окремих проектів.

Основними напрямами державної політики у сфері ТЗІ є:

1) нормативно-правове забезпечення щодо:

- удосконалення чинних та створення нових нормативно-правових актів щодо технічного захисту інформації, яка становить державну та іншу передбачену законом таємницю, конфіденційної інформації, що належить державі;

- розроблення нормативно-правових актів з питань захисту відкритої інформації, важливої для особи, суспільства та держави;

- удосконалення правових механізмів організаційного забезпечення ТЗІ;

- удосконалення нормативно-правових актів з питань умов і правил провадження господарської діяльності у сфері ТЗІ;

- удосконалення нормативно-правових актів з питань здійснення контролю за імпортом з метою впровадження в Україні іноземних інформаційних технологій із захистом інформації та засобів забезпечення ТЗІ;

- розроблення нормативних документів з питань формування та розвитку моделі загроз для інформації;

- розроблення нормативних документів з питань сертифікації засобів ТЗІ, експертизи та атестації на відповідність вимогам ТЗІ об'єктів, робота яких пов'язана з інформацією, що підлягає ТЗІ;

- удосконалення чинних та розроблення нових нормативних документів з питань ТЗІ:

2) організаційне забезпечення щодо:

- створення підрозділів ТЗІ в органах державної влади та органах місцевого самоврядування, академіях наук, Збройних Силах, інших військових формуваннях, органах внутрішніх справ, на підприємствах, в установах і організаціях всіх форм власності, діяльність яких пов'язана з інформацією, що підлягає ТЗІ;

- створення організацій системи сертифікації засобів ТЗІ;

- підготовки кадрів для роботи у галузі ТЗІ;

- залучення до розв'язання проблем ТЗІ вітчизняних вчених та висококваліфікованих спеціалістів;

- розвиток міжнародного співробітництва в галузі ТЗІ;

- науково-технічна та виробнича діяльність:

- моніторинг і оцінка стану ТЗІ, підготовка аналітичних матеріалів і пропозицій щодо стратегії його розвитку;

- створення інформаційно-аналітичних моделей загроз для інформації та методології їх прогнозування;

- обгрунтування критеріїв та показників рівнів ТЗІ;

- створення методології синтезу систем багаторівневого захисту інформації, адекватних масштабам загроз безпеці інформації та режимів доступу;

- створення науково-практичних матеріалів, призначених для визначення оцінки (експертизи) технічних засобів вітчизняного і іноземного виробництва з точки зору можливих загроз витоку, порушення цілісності, авторства, спостережності та доступності інформації;

- системного підходу з поетапного розроблення і виробницства сучасних засобів ТЗІ;

- пріоритетного напрямку створення вітчизняних конкурентоспроможних інформаційних технологій та виробництва вітчизняних засобів ТЗІ.

Концепцією визначені першочергові заходи щодо реалізації державної політики у галузі ТЗІ, які стосуються питань:

- створення збалансованих правових засад реалізації державної політики у галузі ТЗІ, визначення послідовності та порядку розроблення відповідних нормативно-правових актів;

- визначення перспективних напрямів розроблення нормативних документів системи ТЗІ з урахуванням вітчизняного та зарубіжного досвіду;

- визначення номенклатури вітчизняних засобів обчислювальної техніки та базового програмного забезпечення, оргтехніки, обладнання мереж зв'язку, призначених для оброблення інформації з обмеженим доступом, інших засобів забезпечення ТЗІ в органах державної влади та органах місцевого самоврядування, Національній академії наук, Збройних Силах, інших військових формуваннях, органах внутрішніх справ;

- налагодження виробництва необхідних засобів обчислювальної техніки та базового програмного забезпечення, оргтехніки, обладнання мереж зв'язку із захистом інформації, інших вітчизняних засобів ТЗІ;

- створення та розвитку системи сертифікації вітчизняних та закордонних засобів ТЗІ;

- визначення реальних потреб системи ТЗІ у фахівцях, розвиток та вдосконалення системи підготовки, перепідготовки та підвищення кваліфікації фахівців з питань ТЗІ.

Правовий статус Державної служби спеціального зв’язку та захисту інформації України у якості центрального органу виконавчої влади з питань формування та реалізація державної політики у сфері захисту державних інформаційних ресурсів, криптографічного та технічного захисту інформації визначено Законом України «Про Державну службу спеціального зв’язку та захисту інформації України».

В галузі ТЗІ на Держспецзв’язок України покладено завдання

- участі у формуванні та реалізації державної політики у сфері захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах ТЗІ;

- забезпечення функціонування, безпеки та розвитку державної системи урядового зв'язку і Національної системи конфіденційного зв'язку;

- визначення вимог і порядку створення та розвитку системи технічного захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;

- здійснення державного контролю за станом технічного захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.

В галузі ТЗІ на Держспецзв’язок України відповідно до визначених завдань покладаються такі обов'язки щодо:

- підготовки пропозицій щодо визначення загальної стратегії та пріоритетних напрямів діяльності у сфері захисту державних інформаційних, технічного захисту інформації зокрема;

- розроблення і здійснення заходів щодо розвитку системи технічного захисту інформації;

- розроблення порядку та вимог щодо захисту державних інформаційних ресурсів, технічного захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;

- методичного керівництва та координації діяльності органів державної влади, органів місцевого самоврядування, військових формувань, підприємств, установ і організацій незалежно від форм власності у галузі ТЗІ, а також з питань, пов'язаних із запобіганням вчиненню порушень безпеки інформації в інформаційно-телекомунікаційних системах, виявленням та усуненням наслідків інших несанкціонованих дій щодо державних інформаційних ресурсів в інформаційно-телекомунікаційних системах;

- видачі відповідно до вимог законодавства ліцензій на провадження господарської діяльності у галузі ТЗІ, а також дозволів органам державної влади на проведення робіт з ТЗІ для власних потреб;

- розроблення та супроводження моделей технічних розвідок шляхом збору та аналізу інформації про існуючі системи і засоби технічних розвідок, тактику та методи їх застосування, а також перспективи розвитку; надання рекомендацій органам державної влади, органам місцевого самоврядування, військовим формуванням, підприємствам, установам і організаціям для оцінки загроз та вжиття відповідних заходів для захисту інформації;

та інші.

Положення про технічний захист інформації в Україні визначає правові та організаційні засади технічного захисту важливої для держави, суспільства і особи інформації, охорона якої забезпечується державою відповідно до законодавства. Мова йде про порядок розроблення і впровадження заходів ТЗІ, заходи контролю у галузі ТЗІ, оцінюванні рівня захищеності інформації на ОІД і в ІТС, порядку оцінювання рівня захисту тощо.

Закон України «Про захист інформації в інформаційно-телекомунікаційних системах» регулює відносини у сфері захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах та визначає:

- об’єкти (інформація) та суб’єкти захисту (власники інформації і системи, користувачі, Держспецзв’язок);

- порядок доступу до інформації (окреме законодавство);

- відносини між власником інформації та власником системи;

- відносини між власником інформації та власником системи;

- відносини між власниками систем;

- умови обробки інформації в системі;

- забезпечення захисту інформації в системі;

- повноваження державних органів у сфері захисту інформації в системах.

Постанова Кабінету Міністрів України від 29 березня 2006 р. № 373 «Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах» визначає загальні вимоги та організаційні засади забезпечення захисту інформації, яка є власністю держави, або є інформацією з обмеженим доступом, вимога щодо захисту якої встановлена законом.

Стандарт ДСТУ 3396.1-96 установлює загальні вимоги до порядку проведення робіт з ТЗІ. Згідно стандарту, розглядаються такі можливості як:

- досягнення необхідного рівня захисту інформації з обмеженим доступом за мінімальних затрат і допустимого рівня обмежень на види інформаційної діяльності;

- досягнення необхідного рівня захисту інформації з обмеженим доступом за допустимих затрат і заданого рівня обмежень видів інформаційної діяльності;

- досягнення максимального рівня захисту інформації з обмеженим доступом за необхідних затрат і мінімального рівня обмежень на види інформаційної діяльності.

Захист інформації, яка не є державною таємницею, забезпечується, як правило, застосуванням першого чи другого варіанту.

«Положення про дозвільний порядок проведення робіт з ТЗІ для власних потреб» визначає види та умови проведення робіт з ТЗІ для власних потреб, які виконуються за дозволами Держспецзв’язку України, встановлює порядок надання дозволів, контроль та відповідальність під час проведення визначених видів робіт.

Вимоги Положення поширюються на органи державної влади, органи місцевого самоврядування (державні органи), які мають намір проводити роботи з технічного захисту інформації для власних потреб, необхідність охорони якої визначена законодавством.

За відсутності у державного органу дозволу на проведення робіт з ТЗІ для власних потреб зазначені роботи повинні виконуватись із залученням організацій, які мають ліцензії на право провадження господарської діяльності у галузі ТЗІ.

Види робіт з ТЗІ для власних потреб, які виконуються за дозволами Держспецзв’язку України представляють собою:

- розроблення, впровадження, дослідження ефективності, обслуговування на об’єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є акустичні поля;

- розроблення, впровадження, дослідження ефективності, обслуговування на об’єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали;

- розроблення, виробництво, впровадження, дослідження ефективності, супроводження засобів та комплексів технічного захисту інформації в інформаційних системах, інформаційних технологій із захистом інформації від несанкціонованого доступу;

- виявлення та блокування витоку мовної та видової інформації через закладні пристрої на об’єктах інформаційної діяльності.

Положення про контроль за функціонуванням системи ТЗІ визначає правові та організаційні засади контролю за функціонуванням системи технічного захисту інформації та поширюється на всі її суб'єкти.

Контрольно-інспекційна робота з питань ТЗІ включає планування та проведення перевірок стану ТЗІ в органах, щодо яких здійснюється ТЗІ, проведення аналізу та надання рекомендацій щодо вдосконалення заходів з ТЗІ в зазначених органах та перевірок щодо виконання ними завдань або провадження діяльності в цій галузі за відповідними дозволами та ліцензіями.

Перевірки поділяються на комплексні, цільові (тематичні) та контрольні.

При комплексній перевірці вивчається та оцінюється стан ТЗІ в органах, щодо яких здійснюється ТЗІ.

При цільовій (тематичній) перевірці вивчаються окремі напрямки ТЗІ, перевіряється виконання рішень (розпоряджень, наказів, вказівок) органів державної влади з питань ТЗІ в органах, щодо яких здійснюється ТЗІ, виконання завдань або провадження діяльності в галузі ТЗІ за відповідними дозволами та ліцензіями суб'єктами системи ТЗІ.

При контрольній перевірці перевіряється усунення недоліків, які були виявлені під час проведення попередньої комплексної або цільової перевірки (контрольні перевірки проводяться за потреби, як правило, не раніше ніж через рік після попередньої перевірки).

Зазначені перевірки можуть бути планові та позапланові, з попередженням та раптові.

Ліцензійні умови впровадження господарської діяльності у галузі ТЗІ визначають кваліфікаційні, організаційні, технологічні та інші вимоги до суб’єктів господарювання, виконання яких є обов’язковою умовою провадження видів робіт та надання видів послуг у межах господарської діяльності з розроблення, виробництва, впровадження, обслуговування, дослідження ефективності систем і засобів ТЗІ, надання послуг у галузі ТЗІ.

Види робіт, які виконуються в межах господарської діяльності у галузі ТЗІ, що підлягають ліцензуванню:

- розроблення, впровадження, дослідження ефективності, обслуговування на об’єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є акустичні поля, надання консультативних послуг;

- розроблення, впровадження, дослідження ефективності, обслуговування на об’єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали, надання консультативних послуг;

- розроблення, виробництво, впровадження, дослідження ефективності, супроводження засобів та комплексів технічного захисту інформації в інформаційних системах, інформаційних технологій із захистом інформації від несанкціонованого доступу, надання консультативних послуг;

- виявлення та блокування витоку мовної та видової інформації через закладні пристрої на об’єктах інформаційної діяльності, надання консультативних послуг;

- виробництво засобів забезпечення технічного захисту інформації, носіями якої є акустичні поля;

- виробництво засобів забезпечення технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали;

- розроблення, впровадження, дослідження ефективності, обслуговування на об’єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є хімічні речовини, надання консультативних послуг.

Залежно від важливості інформації для особи, суспільства, держави та правового режиму доступу до інформації встановлюються особливі умови провадження робіт у межах господарської діяльності у галузі ТЗІ:

- з наданням права провадження робіт у галузі технічного захисту інформації усіх видів, у тому числі інформації, що містить відомості, які становлять державну таємницю;

- з наданням права провадження робіт у галузі технічного захисту інформації, що не містить відомостей, які становлять державну таємницю.

Для провадження робіт із технічного захисту інформації усіх видів, у тому числі інформації, що містить відомості, які становлять державну таємницю, суб’єкт господарювання, його філії, інші відокремлені підрозділи повинні мати:

- спеціальний дозвіл на провадження діяльності, пов’язаної з державною таємницею;

- допуски до державної таємниці на спеціалістів, що залучаються до виконання робіт, пов’язаних із державною таємницею;

- приміщення, для проведення секретних нарад, обговорень та робіт, зі створеними та атестованими на відповідність вимогам нормативних документів з ТЗІ комплексами з ТЗІ від витоку технічними каналами та (або) технічні засоби обробки секретної інформації, в тому числі інформаційні та інформаційно-телекомунікаційні системи, в яких створено комплексну систему захисту інформації з підтвердженою відповідністю (за потреби).

Положення про державну експертизу у галузі ТЗІ визначає процедури перевірки, аналізу та оцінки об'єктів експертизи щодо можливості їх використання для забезпечення належного рівня ТЗІ.

Об'єктами експертизи є:

- комплексні системи захисту інформації (далі - КСЗІ), які є невід'ємною складовою частиною інформаційної, телекомунікаційної або інформаційно-телекомунікаційної системи (далі - ІТС);

- технічні та програмні засоби, які реалізують функції ТЗІ (засоби ТЗІ).

Експертиза може бути первинною, додатковою та контрольною.

Первинна експертиза є основним видом експертизи і передбачає виконання Організатором усіх потрібних заходів, визначених у розділі 3 цього Положення, для підготовки та прийняття рішення щодо об'єкта експертизи.

Додаткова експертиза проводиться стосовно об'єктів експертизи, щодо яких відкрилися нові наукові та науково-технічні обставини або в зв'язку з закінченням терміну дії документів, що засвідчують результати експертизи.

Контрольна експертиза проводиться іншим Організатором з ініціативи Замовника за наявністю у нього обґрунтованих претензій до висновку первинної чи додаткової експертизи або з ініціативи Адміністрації для перевірки висновку первинної чи додаткової експертизи.