1. Властивості інформації з погляду її захисту.
Презумпція відкритості інформацію тягне за собою дисциплінарну, цивільно, адміністративну або
інформації.
Інформація - будь-які відомості та/або дані, які можуть бути збережені на
матеріальних носіях або відображені в електронному вигляді;
Захист інформації - сукупність правових, адміністративних, організаційних,
технічних та інших заходів, що забезпечують збереження, цілісність
інформації та належний порядок доступу до неї;
З точки зору захисту інформації, виділяються такі її властивості, які підлягають
захисту. До них відноситься:
конфіденційність – властивість інформації бути захищеною від
несанкціонованого ознайомлення;
цілісність – властивість інформації бути захищеною від несанкціонованої
зміни або знищення;
доступність – властивість інформації бути захищеною від несанкціонованого
блокування.
Іноді ще визначають таку властивість інформації, як спостережність –
властивість весь час (на усіх етапах обробки та передавання) знаходитись під
контролем системи захисту.
Презумпція відкритості – принцип, який передбачає, що будь-яка інформація,
що знаходиться у розпорядника публічної інформації, є відкритою, тобто
публічною. Тобто, відкритість інформації визнається правилом, а обмеження
доступу – винятком з цього правила. Іншими словами, будь-яка інформація,
яка створена розпорядником або знаходиться у розпорядника, є публічною
апріорі, і обмежувати її можна тільки відповідно до законодавства України. З
презумпції відкритого доступу до інформації випливає також неможливість
автоматичного обмеження доступу до категорій інформації.
2. Державна таємниця. Порядок віднесення інфорамції до державної
таємниці.
Державна таємниця - вид таємної інформації, що охоплює відомості у сфері
оборони, економіки, науки і техніки, зовнішніх відносин, державної безпеки та
охорони правопорядку, розголошення яких може завдати шкоди національній
безпеці України та які визнані у порядку, встановленому цим Законом,
державною таємницею і підлягають охороні державою.
Основною підставою класифікації секретної інформації є ступінь секретності.
Ця категорія характеризує важливість секретної інформації, ступінь обмеження
доступу до неї та рівень її охорони державою. Законодавством передбачено три
ступені секретності для інформації, що становить державну таємницю:
"особливої важливості", "цілком таємно", "таємно".
Зі ступенем секретності безпосередньо пов'язаний і максимальний строк дії
режиму секретності інформації. Він не може перевищувати для інформації із
ступенем секретності "особливої важливості" - 30 років, для
інформації "цілком таємно" - 10 років, для інформації "таємно" - 5 років. У
деяких випадках Президент України може встановлювати більш тривалі
строки дії рішень про віднесення інформації до державної таємниці.
Віднесення інформації до державної таємниці, зміни ступеня її секретності та
розсекречування здійснює державний експерт з питань таємниць відповідно до
вимог Закону України "Про державну таємницю".
Виконання функцій державного експерта з питань таємниць покладається на
конкретних посадових осіб, а саме:
1) у Верховній Раді України — Головою Верховної Ради України;
2) в інших органах державної влади — Президентом України за поданням
керівника відповідного державного органу.
Державний експерт з питань таємниць виконує такі функції:
1) визначає на підставі чого інформацію можна віднести до державної
таємниці; ступінь секретності інформації, яку віднесено до державної таємниці;
орган державної влади (органи), якому надається право приймати рішення
стосовно тих суб'єктів, які матимуть доступ до секретної інформації;
2) робить висновок, якої шкоди буде завдано національній безпеці України у
разі розголошення конкретної секретної інформації;
3) установлює та продовжує строк дії рішення про віднесення інформації до
державної таємниці із зазначенням дати її розсекречення;
4) подає до Служби безпеки України висновки про зміну ступеня секретності
інформації та скасування рішення про віднесення ЇЇ до державної таємниці у
разі зміни підстав, за яких цю інформацію було віднесено до державної
таємниці;
5) затверджує за погодженням зі Службою безпеки України перелік
відомостей, що становлять державну таємницю, зміни до них, контролює
відповідність змісту цих переліків Зводу відомостей, що становлять державну
таємницю;
6) розглядає пропозиції органів державної влади, органів місцевого
самоврядування, підприємств, установ, організацій, об'єднань громадян та
окремих громадян щодо віднесення інформації до державної таємниці та її
розсекречування;
7) затверджує висновки щодо обізнаності з державною таємницею громадян,
які мають чи мали допуск до неї;
8) контролює обґрунтованість і правильність надання документам, виробам та
іншим матеріальним носіям інформації, які містять відомості, включені до
Зводу відомостей чи розгорнутих переліків відомостей, що становлять
державну таємницю, відповідного грифа секретності, своєчасність його зміни
та розсекречування цих носіїв із наданням їм реквізиту "розсекречено".
Інформацію до державної таємниці відносять на основі мотивованого рішення
державного експерта з питань таємниць за його власною ініціативою, за
зверненням керівників відповідних органів державної влади, органів місцевого
самоврядування, підприємств, установ, організацій чи громадян.
Державний експерт з питань таємниць може відносити інформацію до
державної таємниці з тих питань, прийняття рішень яких належить до його
компетенції згідно з посадою, яку він обіймає. У разі, якщо прийняття рішення
про віднесення інформації до державної таємниці належить до компетенції
кількох державних експертів із питань таємниць, то за ініціативою державних
експертів або за пропозицією Служби безпеки України таке рішення
приймається колегіально і ухвалюється простою більшістю голосів. При цьому
кожен експерт має право викласти власну думку.
Інформація вважається державною таємницею з часу опублікування Зводу
відомостей, що становлять державну таємницю, до якого включена ця
інформація, чи зміни до нього в порядку, встановленому Законом України
"Про державну таємницю".
Строк, упродовж якого діє рішення про віднесення інформації до державної
таємниці, встановлюється державним експертом з питань таємниць з
урахуванням ступеня засекреченості інформації, критерії визначення якого
встановлюються Службою безпеки України. Він не може перевищувати для
інформації із ступенем секретності "особливої важливості" — 30 років, для
інформації "цілком таємно" — 10 років, для інформації "таємно" — 5 років.
Після закінчення строку дії рішення про віднесення інформації до державної
таємниці державний експерт з питань таємниць робить висновок про
скасування рішення про віднесення її до державної таємниці або приймає
рішення про продовження строку дії зазначеного рішення в межах строків,
встановлених законом.
3. Відповідальність за порушення законодавства про інформацію.
Однією з гарантій дотримання права на інформацію є системи, в якій вона обробляється, не встановлено законодавством.
встановлення відповідальності за порушення законодавства про інформацію.
Зокрема, відповідно до ст.7 Закону України «Про інформацію» суб'єкт
інформаційних відносин може вимагати усунення будь-яких порушень його
права на інформацію. Відповідно до ст.3 Закону України «Про доступ до
публічної інформації» право на доступ до публічної інформації, серед іншого,
гарантується встановленням юридичної відповідальності за порушення
законодавства про доступ до публічної інформації. Відповідно до ч.1 ст.27
Закону України «Про інформацію» порушення законодавства України про
Забезпечується можливість проведення аналізу реєстраційних даних виключно
кримінальну відповідальність згідно із законами України.
Законодавець встановлює право на оскарження рішень, дій чи бездіяльності
розпорядників інформації (ст.23 Закону України «Про доступ до публічної
інформації»).
Так, запитувачами публічної інформації можуть бути оскаржені:
 відмова в задоволенні запиту на інформацію;
 відстрочка задоволення запиту на інформацію;
 ненадання відповіді на запит на інформацію;
 надання недостовірної або неповної інформації;
 несвоєчасне надання інформації;
 невиконання розпорядниками обов'язку оприлюднювати інформацію;
 інші рішення, дії чи бездіяльність розпорядників інформації, що
порушили законні права та інтереси запитувача.
Рішення, дії чи бездіяльність розпорядників інформації можуть бути оскаржені
до керівника розпорядника, вищого органу або суду. Скарга до суду подається
за правилами Кодексу адміністративного судочинства України.
Відповідно до ст.24 Закону України «Про доступ до публічної
інформації»відповідальність за порушення законодавства про доступ до
публічної інформації несуть особи, винні у вчиненні таких порушень:
1) ненадання відповіді на запит;
2) ненадання інформації на запит;
3) безпідставна відмова у задоволенні запиту на інформацію;
4) неоприлюднення інформації відповідно до статті 15 цього Закону;
5) надання або оприлюднення недостовірної, неточної або неповної інформації;
6) несвоєчасне надання інформації;
7) необґрунтоване віднесення інформації до інформації з обмеженим доступом;
8) нездійснення реєстрації документів;
9) навмисне приховування або знищення інформації чи документів.
Водночас, за порушення інформаційного законодавства Кодексом України про
адміністративні правопорушення (КУпАП) передбачена адміністративна
відповідальність.
Зокрема, відповідно до ст.2123 КУпАП неправомірна відмова в наданні
інформації, несвоєчасне або неповне надання інформації, надання інформації,
що не відповідає дійсності, у випадках, коли така інформація підлягає наданню
на запит громадянина чи юридичної особи відповідно до законів України «Про
інформацію», «Про доступ до публічної інформації», «Про звернення
громадян», «Про доступ до судових рішень» та «Про засади запобігання і
протидії корупції», або на адвокатський запит, запит кваліфікаційно-
дисциплінарної комісії адвокатури, її палати або члена відповідно до Закону
України "Про адвокатуру та адвокатську діяльність", - тягне за собою
накладення штрафу на посадових осіб від двадцяти п'яти до п'ятдесяти
неоподатковуваних мінімумів доходів громадян.
Згідно з п.11 ст.255 КУпАП прокурор або уповноважена ним особа з числа
працівників прокуратури наділені правом складати протоколи про
адміністративні правопорушення, в т.ч. і про адміністративне правопорушення,
передбачене ст.212-3 КУпАП.
Зі скаргами про порушення інформаційного законодавства слід звертатися до
органів прокуратури на підставі Закону України «Про звернення громадян».
Прокурор або уповноважена ним особа з числа працівників прокуратури є
уповноважений та зобов’язаний проводити перевірки в частині можливих
порушень в галузі інформаційного законодавства і законодавства про
звернення, за наслідками яких, в разі наявності достатніх підстав,
приймати рішення про складення протоколу про адміністративне
правопорушення.
Відповідно до процедури притягнення до адміністративної відповідальності,
визначеної КУпАП, суд вирішує питання про притягнення до адміністративної
відповідальності після отримання відповідного протоколу в порядку ст.257
КУпАП, складеного органами прокуратури.
4. Загальні вимоги та організаційні засади забезпечення захисту
державних інформаційних ресурсів або інформації, вимога щодо захисту
якої встановлена законом, в інформаційних, телекомунікаційних та
інформаційно-телекомунікаційних системах.
Захисту в системі підлягає:
• відкрита інформація, яка належить до державних інформаційних ресурсів, а
також відкрита інформація про діяльність суб'єктів владних повноважень,
військових формувань, яка оприлюднюється в Інтернеті, інших глобальних
інформаційних мережах і системах або передається телекомунікаційними
мережами (далі - відкрита інформація);
• конфіденційна інформація, яка перебуває у володінні розпорядників
інформації, визначених частиною першою статті 13 Закону України "Про
доступ до публічної інформації" ( 2939-17 ) (далі - конфіденційна інформація);
• службова інформація; • інформація, яка становить державну або іншу
передбачену законом таємницю (далі - таємна інформація);
• інформація, вимога щодо захисту якої встановлена законом. { Пункт 4 в
редакції Постанови КМ N 938 ( 938-2011-п ) від 07.09.2011 }
Відкрита інформація під час обробки в системі повинна зберігати цілісність,
що забезпечується шляхом захисту від несанкціонованих дій, які можуть
призвести до її випадкової або умисної модифікації чи знищення. Усім
користувачам повинен бути забезпечений доступ до ознайомлення з відкритою
інформацією. Модифікувати або знищувати відкриту інформацію можуть
лише ідентифіковані та автентифіковані користувачі, яким надано відповідні
повноваження.
Спроби модифікації чи знищення відкритої інформації користувачами, які не
мають на це повноважень, неідентифікованими користувачами або
користувачами з не підтвердженою під час автентифікації відповідністю
пред'явленого ідентифікатора повинні блокуватися.
Під час обробки службової і таємної інформації повинен забезпечуватися її
захист від несанкціонованого та неконтрольованого ознайомлення,
модифікації, знищення, копіювання, поширення.
Доступ до службової інформації надається тільки ідентифікованим та
автентифікованим користувачам. Спроби доступу до такої інформації
неідентифікованих осіб чи користувачів з не підтвердженою під час 2
автентифікації відповідністю пред'явленого ідентифікатора повинні
блокуватися.
У системі забезпечується можливість надання користувачеві права на
виконання однієї або кількох операцій з обробки конфіденційної інформації
або позбавлення його такого права.
Вимоги до захисту в системі інформації, що становить державну таємницю,
визначаються цими Правилами та законодавством у сфері охорони державної
таємниці.
Забезпечення захисту в системі таємної інформації, яка не становить державну
таємницю, та конфіденційної інформації здійснюється згідно з вимогами до
захисту службової інформації, якщо інше не передбачено законом. { Пункт 9 в
редакції Постанови КМ N 938 ( 938-2011-п ) від 07.09.2011 }
Вимоги до захисту в системі інформації від несанкціонованого блокування
визначаються розпорядником інформації, якщо інше для цієї інформації або
У системі здійснюється обов'язкова реєстрація:
• результатів ідентифікації та автентифікації користувачів;
• результатів виконання користувачем операцій з обробки інформації;
• спроб несанкціонованих дій з інформацією;
• фактів надання та позбавлення користувачів права доступу до інформації та її
обробки;
• результатів перевірки цілісності засобів захисту інформації.
користувачем, якого уповноважено здійснювати управління засобами захисту
інформації і контроль за захистом інформації в системі (адміністратор
безпеки).
Реєстрація здійснюється автоматичним способом, а реєстраційні дані
захищаються від модифікації та знищення користувачами, які не мають
повноважень адміністратора безпеки.
Реєстрація спроб несанкціонованих дій з інформацією, що становить державну
таємницю, а також конфіденційної інформації про фізичну особу, яка законом
віднесена до персональних даних, повинна супроводжуватися повідомленням
про них адміністратора безпеки.
Ідентифікація та автентифікація користувачів, надання та позбавлення їх права
доступу до інформації та її обробки, контроль за цілісністю засобів захисту в
системі здійснюється автоматизованим способом.
Передача службової і таємної інформації з однієї системи до іншої
здійснюється у зашифрованому вигляді або захищеними каналами зв'язку
згідно 3 з вимогами законодавства з питань технічного та криптографічного
захисту інформації.
Порядок підключення систем, в яких обробляється службова і таємна
інформація, до глобальних мереж передачі даних визначається
законодавством.
У системі здійснюється контроль за цілісністю програмного забезпечення, яке
використовується для обробки інформації, запобігання несанкціонованій його
модифікації та ліквідація наслідків такої модифікації.
Контролюється також цілісність програмних та технічних засобів захисту
інформації. У разі порушення їх цілісності обробка в системі інформації
припиняється.
Організаційні засади забезпечення захисту інформації
Для забезпечення захисту інформації в системі створюється комплексна
система захисту інформації (далі - система захисту), яка призначається для
захисту інформації від:
• витоку технічними каналами, до яких належать канали побічних
електромагнітних випромінювань і наведень, акустично-електричні та інші
канали, що утворюються під впливом фізичних процесів під час
функціонування засобів обробки інформації, інших технічних засобів і
комунікацій;
• несанкціонованих дій з інформацією, у тому числі з використанням
комп'ютерних вірусів;
• спеціального впливу на засоби обробки інформації, який здійснюється
шляхом формування фізичних полів і сигналів та може призвести до
порушення її цілісності та несанкціонованого блокування.
Захист інформації від витоку технічними каналами забезпечується в системі у
разі, коли в ній обробляється інформація, що становить державну таємницю,
або коли відповідне рішення щодо необхідності такого захисту прийнято
розпорядником інформації.
Захист інформації від несанкціонованих дій, у тому числі від комп'ютерних
вірусів, забезпечується в усіх системах. Захист інформації від спеціального
впливу на засоби обробки інформації забезпечується в системі, якщо рішення
про необхідність такого захисту прийнято розпорядником інформації.
Відповідальність за забезпечення захисту інформації в системі, своєчасне
розроблення необхідних для цього заходів та створення системи захисту
покладається на керівника (заступника керівника) організації, яка є власником
(розпорядником) системи, та керівників її структурних підрозділів, що
забезпечують створення та експлуатацію системи.
Організація та проведення робіт із захисту інформації в системі здійснюється
службою захисту інформації, яка забезпечує визначення вимог до захисту
інформації в системі, проектування, розроблення і модернізацію системи
захисту, а також виконання робіт з її експлуатації та контролю за станом
захищеності інформації.
Служба захисту інформації утворюється згідно з рішенням керівника
організації, що є власником (розпорядником) системи. У разі коли обсяг робіт,
пов'язаних із захистом інформації в системі, є незначний, захист інформації
може здійснюватися однією особою.
Захист інформації на всіх етапах створення та експлуатації системи
здійснюється відповідно до розробленого службою захисту інформації плану
захисту інформації в системі.
План захисту інформації в системі містить:
• завдання захисту, класифікацію інформації, яка обробляється в системі, опис
технології обробки інформації;
• визначення моделі загроз для інформації в системі;
• основні вимоги щодо захисту інформації та правила доступу до неї в системі;
• перелік документів, згідно з якими здійснюється захист інформації в системі;
• перелік і строки виконання робіт службою захисту інформації.
Вимоги та порядок створення системи захисту встановлюються
Адміністрацією Держспецзв'язку.
Вимоги до захисту інформації кожної окремої системи встановлюються
технічним завданням на створення системи або системи захисту.
У складі системи захисту повинні використовуватися засоби захисту
інформації з підтвердженою відповідністю. У разі використання засобів
захисту інформації, які не мають підтвердження відповідності на момент
проектування системи захисту, відповідне оцінювання проводиться під час
державної експертизи системи захисту.
Порядок проведення державної експертизи системи захисту, державної
експертизи та сертифікації засобів технічного і криптографічного захисту
інформації встановлюється Адміністрацією.
Органи виконавчої влади, які мають дозвіл на провадження діяльності з
технічного захисту інформації для власних потреб, вправі за згодою
департаменту організовувати проведення державної експертизи системи
захисту на підприємствах, в установах та організаціях, які належать до сфери їх
управління.
Порядок проведення такої експертизи встановлюється органом виконавчої
влади за погодженням з Адміністрацією.
Виконавцем робіт із створення системи захисту може бути суб'єкт
господарської діяльності або орган виконавчої влади, який має ліцензію або
дозвіл на право провадження хоча б одного виду робіт у сфері технічного
захисту інформації, необхідність проведення якого визначено технічним
завданням на створення системи захисту.
Для проведення інших видів робіт з технічного захисту інформації, на
провадження яких виконавець не має ліцензії (дозволу), залучаються
співвиконавці, що мають відповідні ліцензії. Якщо для створення системи
захисту необхідно провести роботи з криптографічного захисту інформації,
виконавець повинен мати ліцензії на провадження виду робіт у сфері
криптографічного захисту інформації або залучати співвиконавців, що мають
відповідні ліцензії.
Контроль за забезпеченням захисту інформації в системі полягає у перевірці
виконання вимог з технічного та криптографічного захисту інформації та
здійснюється у порядку, визначеному Адміністрацією.
У системі, яка складається з кількох інформаційних та (або)
телекомунікаційних систем, ці Правила можуть застосовуватися до кожної
складової частини окремо.
5. Публічна інформація. Порядок доступу до публічної
інформації.
Публічна інформація - це відображена та задокументована будь-якими
засобами та на будь-яких носіях інформація, що була отримана або створена в
процесі виконання суб'єктами владних повноважень своїх обов'язків,
передбачених чинним законодавством, або яка знаходиться у володінні
суб'єктів владних повноважень, інших розпорядників публічної інформації,
визначених цим Законом.
Публічна інформація є відкритою, крім випадків, встановлених законом.
1. Доступ до інформації забезпечується шляхом:
1) систематичного та оперативного оприлюднення інформації:
 в офіційних друкованих виданнях;
 на офіційних веб-сайтах в мережі Інтернет;
 на єдиному державному веб-порталі відкритих даних;
 на інформаційних стендах;
 будь-яким іншим способом;
2) надання інформації за запитами на інформацію.
Запит на інформацію - це прохання особи до розпорядника інформації надати
публічну інформацію, що знаходиться у його володінні.
Запитувач має право звернутися до розпорядника інформації із запитом на
інформацію незалежно від того, стосується ця інформація його особисто чи ні,
без пояснення причини подання запиту.
Запит на інформацію може бути індивідуальним або колективним. Запити
можуть подаватися в усній, письмовій чи іншій формі (поштою, факсом,
телефоном, електронною поштою) на вибір запитувача.
Письмовий запит подається в довільній формі.
Запит на інформацію має містити:
1) ім'я (найменування) запитувача, поштову адресу або адресу електронної
пошти, а також номер засобу зв'язку, якщо такий є;
2) загальний опис інформації або вид, назву, реквізити чи зміст документа,
щодо якого зроблено запит, якщо запитувачу це відомо;
3) підпис і дату за умови подання запиту в письмовій формі.
З метою спрощення процедури оформлення письмових запитів на інформацію
особа може подавати запит шляхом заповнення відповідних форм запитів на
інформацію, які можна отримати в розпорядника інформації та на офіційному
веб-сайті відповідного розпорядника. Зазначені форми мають містити стислу
інструкцію щодо процедури подання запиту на інформацію, її отримання тощо.
У разі якщо з поважних причин (інвалідність, обмежені фізичні можливості
тощо) особа не може подати письмовий запит, його має оформити
відповідальна особа з питань доступу до публічної інформації, обов'язково
зазначивши в запиті своє ім'я, контактний телефон, та надати копію запиту
особі, яка його подала.
Розпорядник інформації має надати відповідь на запит на інформацію не
пізніше п'яти робочих днів з дня отримання запиту.
У разі якщо запит на інформацію стосується інформації, необхідної для захисту
життя чи свободи особи, щодо стану довкілля, якості харчових продуктів і
предметів побуту, аварій, катастроф, небезпечних природних явищ та інших
надзвичайних подій, що сталися або можуть статись і загрожують безпеці
громадян, відповідь має бути надана не пізніше 48 годин з дня отримання
запиту.
Інформація на запит надається безкоштовно (окрім випадків, якщо задоволення
запиту на інформацію передбачає виготовлення копій документів обсягом
більше як 10 сторінок). Плата не стягується, якщо мова йде про інформацію,
яка становить суспільний інтерес.
6. Інформація: поняття, види (за змістом, за режимом доступу)
Інформація - будь-які відомості та/або дані, які можуть бути збережені на
матеріальних носіях або відображені в електронному вигляді;
За змістом інформація поділяється на такі види:
- інформація про фізичну особу - це сукупність документованих або публічно
оголошених відомостей про особу.
- інформація довідково-енциклопедичного характеру - це систематизовані,
документовані або публічно оголошені відомості про суспільне, державне
життя та навколишнє природне середовище.
- інформація про стан довкілля (екологічна інформація);
-інформація про товар (роботу, послугу);
- науково-технічна інформація;
- податкова інформація - сукупність відомостей і даних, що створені або
отримані суб'єктами інформаційних відносин у процесі поточної діяльності і
необхідні для реалізації покладених на контролюючі органи завдань і
функцій.
- правова інформація - це сукупність документованих або публічно
оголошених відомостей про право, його систему, джерела, реалізацію,
юридичні факти, правовідносини, правопорядок, правопорушення і
боротьбу з ними та їх профілактику тощо.
- статистична інформація- це офіційна документована державна інформація,
яка дає кількісну характеристику масових явищ та процесів, що
відбуваються в економічній, соціальній, культурній та інших сферах життя.
- соціологічна інформація - це документовані або публічно оголошені
відомості про ставлення окремих громадян і соціальних груп до суспільних
подій та явищ, процесів, фактів.
- масова інформація - це публічно поширювана друкована та аудіовізуальна
інформація.
- інші види інформації.
Згідно із Законом України "Про інформацію" за режимом доступу інформація,
як зазначалося, поділяється на відкриту та з обмеженим доступом. Відкрита
інформація – це інформація, яка доступна для користування всіх, виходячи з
ціни, зрозумілості і простоти у викладі. Ця інформація систематично
публікується в офіційних друкованих виданнях (бюлетенях, збірниках),
поширюється засобами масової комунікації, безпосередньо надається
заінтересованим громадянам, державним органам та юридичним особам.
Інформація з обмеженим доступом – це інформація, яка має довірчий або
секретний характер. У свою чергу, інформація з обмеженим доступом за своїм
правовим режимом поділяється на конфіденційну і таємну (рис. 6.1).
Конфіденційна інформація – це відомості, які знаходяться у володінні,
користуванні та розпорядженні окремих фізичних або юридичних осіб і
розповсюджуються за їх бажанням відповідно до передбачених ними умов. У
ст. 1 Закону України "Про державну статистику" дається таке визначення:
"Конфіденційна інформація – статистична інформація, яка належить до
інформації з обмеженим доступом і знаходиться у володінні, користуванні або
розпорядженні окремого респондента та поширюється виключно за його
згодою відповідно до погоджених з ним умов".
До таємної інформації належить інформація, що містить відомості, які
становлять державну та іншу передбачену законом таємницю, розголошення
якої завдає шкоди особі, суспільству і державі.
Детальніше зміст цього виду інформації розкрито у ст. 1 Закону України "Про
державну таємницю", де зазначено, що державна таємниця (далі також –
секретна інформація) – вид таємної інформації, що охоплює відомості у сфері
оборони, економіки, науки і техніки, зовнішніх відносин, державної безпеки та
охорони правопорядку, розголошення яких може завдати шкоди національній
безпеці України та які визнані у порядку, встановленому цим Законом,
державною таємницею і підлягають охороні державою.
Ступінь секретності інформації засвідчує реквізит матеріального носія
секретної інформації – гриф секретності. Категорія, яка характеризує
важливість секретної інформації, ступінь обмеження доступу до неї та рівень її
охорони державою називається ступенем секретності. Він буває трьох рівнів із
відповідним строком дії рішення про віднесення інформації до державної
таємниці:
– "особливої важливості";
– "цілком таємно";
– "таємно"
7. Державна експертиза в сфері технічного захисту інформації.
Державна експертиза у сфері технічного захисту інформації (далі - експертиза)
проводиться з метою дослідження, перевірки, аналізу та оцінки об'єктів
експертизи щодо їх відповідності вимогам нормативних документів із
технічного захисту інформації та можливості їх використання для забезпечення
технічного захисту інформації (далі - ТЗІ).
3. Дія цього Положення поширюється на всіх юридичних та фізичних осіб, які
є суб'єктами експертизи.
Суб'єктами експертизи є:
- юридичні та фізичні особи - власники (розпорядники) інформаційних,
телекомунікаційних, інформаційно-телекомунікаційних систем, технічних і
програмних засобів, які реалізують функції ТЗІ, - замовники експертизи (далі -
Замовники);
- Адміністрація Держспецзв’язку;
- територіальні органи Адміністрації Держспецзв'язку, які проводять
експертизу шляхом аналізу декларацій про відповідність комплексних систем
захисту інформації (далі - КСЗІ) вимогам нормативних документів із ТЗІ (далі -
декларація);
- навчальні заклади, науково-дослідні, науково-виробничі установи Державної
- служби спеціального зв'язку та захисту інформації України, підприємства,
установи та організації, які проводять експертизу (далі - Організатори);
- державні органи, які проводять експертизу у сфері свого управління;
- фізичні особи, які на постійній або професійній основі здійснюють діяльність,
пов’язану з наданням експертних послуг, - виконавці експертних робіт з ТЗІ
(далі - Експерти).
Об'єктами експертизи є:
- КСЗІ, які є невід'ємною складовою інформаційної, телекомунікаційної або
інформаційно-телекомунікаційної системи (далі - ІТС);
- технічні та програмні засоби, які реалізують функції ТЗІ та/або оцінки стану
захисту інформації (далі - засоби ТЗІ);
- організаційно-технічне рішення на розгортання типової складової
компоненти КСЗІ в ІТС - задокументоване уніфіковане рішення для
багаторазового розгортання складових КСЗІ в ІТС або КСЗІ типової складової
компоненти КСЗІ в ІТС, самодостатньої для вирішення певного завдання, що
включає проектні рішення програмно-технічного комплексу, організаційно-
технічні рішення щодо регламенту функціонування типової компоненти ІТС та
опис (алгоритм) процедури впровадження (далі - ОТР КСЗІ).
Експертиза КСЗІ є процедурою підтвердження відповідності КСЗІ вимогам
нормативних документів із ТЗІ, що проводиться шляхом експертних
випробувань або шляхом аналізу декларації.
Експертиза засобів ТЗІ та ОТР КСЗІ проводиться шляхом експертних
випробувань.
Експертиза КСЗІ шляхом аналізу декларації проводиться у випадках, якщо:
КСЗІ створено в ІТС:
- яка є одномашинним однокористувачевим комплексом, який обробляє
інформацію одного або кількох ступенів обмеження доступу;
- у кожний момент часу з якою може працювати тільки один користувач, хоч у
загальному випадку осіб, що мають доступ до комплексу, може бути декілька;
- у якій для захисту інформації від несанкціонованого доступу
використовуються засоби, що мають чинний на момент подання декларації
позитивний експертний висновок за результатами державної експертизи у
сфері ТЗІ;
- у якій для антивірусного захисту використовуються засоби, що мають чинний
на момент подання декларації позитивний експертний висновок за
результатами державної експертизи у сфері ТЗІ;
- у якій впровадження заходів захисту інформації від витоку технічними
каналами (у разі необхідності створення комплексу ТЗІ) засвідчено
зареєстрованим в установленому порядку актом атестації комплексу
технічного захисту інформації.
КСЗІ в ІТС створено на основі ОТР КСЗІ, що має на момент декларування
чинний позитивний експертний висновок за результатами державної
експертизи у сфері ТЗІ та має у складі документації типову форму декларації
для цієї ІТС.
У всіх інших випадках експертиза КСЗІ в ІТС проводиться шляхом експертних
випробувань.
Експертиза може бути первинною, додатковою та контрольною.
Первинна експертиза є основним видом експертизи і передбачає виконання
Організатором усіх потрібних заходів, визначених у розділі ІІ цього
Положення, для підготовки та прийняття рішення щодо об'єкта експертизи.
Додаткова експертиза проводиться стосовно об'єктів експертизи, щодо яких
відкрилися нові наукові та науково-технічні обставини, а також у зв'язку із
закінченням строку дії документів, що засвідчують результати експертизи.
Контрольна експертиза проводиться іншим Організатором з ініціативи
Замовника у разі наявності у нього обґрунтованих претензій до висновку
первинної чи додаткової експертизи або з ініціативи Адміністрації
Держспецзв’язку для перевірки висновку первинної чи додаткової експертизи.
Для організації та проведення експертизи Адміністрація Держспецзв’язку:
- реєструє заяви на проведення експертизи, надає Замовникам та Організаторам
методичну допомогу стосовно порядку та організації проведення експертизи,
оформлення документів за результатами проведення експертизи;
- приймає рішення щодо можливості й доцільності проведення та організації
експертизи, зокрема контрольної;
- у разі проведення експертизи засобу ТЗІ приймає рішення щодо необхідності
відбору зразків для проведення випробувань;
- реєструє, зупиняє дію або скасовує реєстрацію експертних висновків щодо
можливості використання засобів ТЗІ, ОТР КСЗІ (далі - Експертні висновки) та
атестатів відповідності КСЗІ;
- реєструє декларації, зупиняє дію або скасовує реєстрацію декларацій;
- здійснює контроль за проведенням Організатором експертних випробувань та
за дотриманням вимог щодо експлуатації об'єкта експертизи, які впливають на
захищеність інформації.
Рішення про реєстрацію декларації за результатами експертизи КСЗІ в ІТС
шляхом аналізу декларації приймає територіальний орган Адміністрації
Держспецзв'язку.
Порядок організації та проведення експертизи
1. З метою організації та проведення експертиз, координації заходів і
прийняття рішень щодо проведення експертиз в Адміністрації
Держспецзв’язку створюється експертна рада з питань державної експертизи у
сфері технічного захисту інформації (далі - Експертна рада).
2. З метою проведення експертизи КСЗІ в ІТС шляхом аналізу декларації в
територіальних органах Адміністрації Держспецзв'язку створюється експертна
комісія з питань державної експертизи у сфері технічного захисту інформації
(далі - Експертна комісія).
3. Для проведення експертизи шляхом експертних випробувань Замовник
надсилає на ім'я Голови (заступника Голови) Держспецзв'язку (крім випадків,
передбачених розділом ІV цього Положення) заяву про проведення експертизи
КСЗІ ІТС (додаток 1), заяву про проведення експертизи ОТР КСЗІ (додаток 2),
заяву про проведення експертизи засобу ТЗІ (додаток 3).
Для проведення експертизи КСЗІ в ІТС шляхом аналізу декларації (крім
випадків, передбачених розділом ІV цього Положення) Замовник надсилає
декларацію про відповідність КСЗІ вимогам нормативних документів із ТЗІ
(додаток 4), формуляр ІТС, акт про завершення робіт зі створення КСЗІ, акт
атестації комплексу технічного захисту інформації, зареєстрований в
Адміністрації Держспецзв’язку:
до Адміністрації Держспецзв’язку - на ім’я Голови (заступника Голови)
Держспецзв'язку для ІТС, які розташовано за територіальною ознакою у місті
Києві і Київській області;
до відповідного територіального органу Адміністрації Держспецзв'язку - на
ім’я керівника територіального органу Держспецзв'язку за місцезнаходженням
ІТС.
Експертиза КСЗІ в ІТС, що створена на основі ОТР КСЗІ, проводиться шляхом
аналізу декларації Замовник надсилає до Адміністрації Держспецзв'язку
декларацію про відповідність КСЗІ вимогам нормативних документів із ТЗІ та
додатки до неї згідно із вимогами ОТР КСЗІ.
4. За результатами аналізу декларації і поданих разом із нею документів
Експертна рада (Експертна комісія) в місячний строк приймає рішення про
реєстрацію декларації. Зареєстровану декларацію та інші подані документи
Адміністрація Держспецзв’язку (її територіальний орган) повертає Замовнику.
5. У разі неподання документів, зазначених у пункті 3 цього розділу, неповноти
наданих у них відомостей або невідповідності порядку створення КСЗІ
вимогам нормативних документів із ТЗІ Адміністрація Держспецзв’язку
(територіальний орган Адміністрації Держспецзв’язку) письмово повідомляє
Замовника про відмову в реєстрації декларації, причини, через які реєстрація
не є можливою, та повертає декларацію на доопрацювання. Після усунення
причин, що стали підставою для відмови у реєстрації декларації, Замовник
надсилає для повторного розгляду до Адміністрації Держспецзв’язку
(територіального органу Адміністрації Держспецзв’язку) доопрацьовану
декларацію.
6. Зареєстрована декларація або атестат відповідності КСЗІ скасовуються
Адміністрацією Держспецзв’язку в разі внесення змін до КСЗІ, не
передбачених техноробочим проектом на КСЗІ, та/або порушення вимог з
експлуатації КСЗІ.
7. Строк дії зареєстрованої декларації є необмеженим, крім декларацій на КСЗІ
в ІТС, які створено на основі ОТР КСЗІ, строк дії якої встановлюється
вимогами ОТР КСЗІ (але не більше ніж 5 років).
8. За результатами розгляду заяви Експертна рада у місячний строк приймає
рішення про доцільність проведення експертизи та визначає її Організатора.
9. У разі наявності у Замовника обґрунтованих претензій щодо порядку
проведення або результатів експертизи він може звернутися до Адміністрації
Держспецзв’язку з пропозицією щодо здійснення контролю за проведенням
Організатором експертних випробувань або із заявою на ім'я Голови
(заступника Голови) Держспецзв'язку про проведення контрольної експертизи.
10. Порядок подання та розгляду від Замовника заяви про проведення
контрольної експертизи КСЗІ ІТС/ОТР КСЗІ (додаток 5) або заяви про
проведення контрольної експертизи засобу ТЗІ (додаток 6) здійснюється
відповідно до пунктів 1 - 3 цього розділу.
11. Основним документом, що регламентує відносини між Замовником і
Організатором, є укладений між ними договір на проведення експертизи.
12. Витрати, пов’язані з проведенням експертизи, здійснюються на підставі
договору відповідно до законодавства України.
13. Строк проведення експертизи визначається договором.
14. Кількість і персональний склад експертів, які залучаються до виконання
експертних робіт, визначається Організатором.
15. Замовник надає Організатору комплект технічної документації на об'єкт
експертизи, необхідної для проведення експертних випробувань.
16. Організатор за результатами аналізу наданих документів та з урахуванням
загальних методик оцінювання задекларованих характеристик засобів ТЗІ, ОТР
КСЗІ та КСЗІ формує програму і методику проведення експертизи об'єкта,
здійснює відбір зразків засобів ТЗІ та складає перелік необхідного програмно-
технічного забезпечення для проведення випробувань.
17. Програма проведення експертизи погоджується із Замовником та
уповноваженим структурним підрозділом Адміністрації Держспецзв’язку, а
методика проведення експертизи - з уповноваженим структурним підрозділом
Адміністрації Держспецзв’язку.
18. Під час проведення експертизи кожний Експерт виконує експертні роботи
тільки за дорученням Організатора та відповідно до визначеної методики.
19. Результати роботи оформлюються у вигляді протоколу виконання робіт
(додаток 7) за підписом Експертів, які її виконували. Протокол затверджується
Організатором.
20. Узгодження результатів окремих робіт між Експертом та Організатором, а
також унесення змін до протоколів після їх оформлення або поєднання
результатів окремих робіт в одному протоколі не дозволяються.
21. У протоколі можуть бути зафіксовані особливі думки Експертів відносно
результатів виконаних робіт.
22. У разі виявлення невідповідності об'єкта експертизи вимогам нормативних
документів з ТЗІ Організатор може запропонувати Замовнику виконати
доопрацювання.
23. Строк доопрацювання об'єкта експертизи визначається спільним
протоколом або додатковою угодою до договору між Замовником та
Організатором.
24. Відомості щодо всіх доопрацювань, а також результати додаткових
експертних робіт оформлюються окремими протоколами.
25. Результати робіт, визначених методикою, узагальнюються Організатором в
Експертному висновку.
26. Висновки щодо кожного пункту методики, а також особливі думки
Експертів, зафіксовані в протоколах, включаються до Експертного висновку як
складові частини без унесення до них будь-яких змін.
27. За результатами проведених робіт Організатор складає:
Експертний висновок (додаток 8) та в разі позитивних результатів експертної
оцінки - атестат відповідності КСЗІ;
Експертний висновок (додаток 10) для засобу ТЗІ;
Експертний висновок (додаток 11) для ОТР КСЗІ.
Зазначені документи, що підтверджують відповідність вимогам нормативних
документів з ТЗІ, засвідчуються Організатором і разом з протоколами
виконання робіт подаються до Адміністрації Держспецзв’язку.
Експертний висновок повинен містити:
- загальні відомості щодо об'єкта експертизи (тип, місце розташування,
власник);
- загальну характеристику об'єкта експертизи (призначення, функції,
можливості);
- вимоги нормативних документів з ТЗІ, на відповідність яким здійснюється
оцінка об'єкта експертизи;
- назви програми та методики, згідно з якими здійснювалася оцінка об'єкта
експертизи, ким розроблені та затверджені, реєстраційний номер та дату
затвердження;
- перелік документів і специфікацій програмних та технічних засобів, які
надано Замовником Організатору;
- результати робіт щодо кожного пункту методики експертизи об'єкта;
- розгорнутий висновок щодо відповідності об'єкта експертизи вимогам
нормативних документів системи ТЗІ;
- сферу використання (вимоги до умов експлуатації) об'єкта експертизи;
- строк дії Експертного висновку;
- особливі думки експертів, зафіксовані в протоколах.
Строк дії атестата відповідності КСЗІ, Експертного висновку на засіб ТЗІ або
ОТР КСЗІ визначається Організатором:
- для атестата відповідності КСЗІ автоматизованої системи класу 1 -
безстроковий;
- для атестата відповідності КСЗІ автоматизованої системи класів 2, 3 - до 5
років;
- для Експертного висновку на засіб ТЗІ - до 3 років;
- для Експертного висновку на ОТР КСЗІ - до 5 років.
Строк дії атестата відповідності КСЗІ або Експертного висновку на ОТР КСЗІ
визначається з урахуванням складності архітектури ІТС та засобів захисту, які
використовуються при побудові КСЗІ.
8. Ліцензування господарської діяльності з надання послуг у галузі
технічного захисту інформації.
Вимоги щодо провадження ліцензованої діяльності у галузі
криптографічного захисту інформації
Кадрові вимоги
Здобувач ліцензії чи ліцензіат у галузі технічного захисту інформації повинен
мати штатних або найманих згідно з договором спеціалістів, кількісний склад
та освіта яких забезпечує надання відповідного виду послуг.
- Усі спеціалісти суб’єкта господарювання, які залучаються (залучення яких
передбачено) до надання послуг у галузі технічного захисту інформації,
повинні відповідати кадровим вимогам, визначеним цими Ліцензійними
умовами.
Для провадження господарської діяльності з надання послуг з оцінювання
захищеності інформації, що не становить державної таємниці, здобувач ліцензії
чи ліцензіат повинен мати спеціаліста (спеціалістів) з вищою освітою у галузі
знань “Інформаційна безпека” або вищою інженерно-технічною освітою
фахового спрямування відповідно до обраного виду послуг з додатковою
підготовкою на курсах перепідготовки та підвищення кваліфікації фахівців з
питань технічного захисту інформації за напрямами підготовки відповідно до
обраного виду послуг або стажем роботи у галузі технічного захисту
інформації, виконання якої передбачало захист інформації від
несанкціонованих дій в інформаційних (автоматизованих) системах,
організацію та/або виконання експертних випробувань (робіт) з технічного
захисту інформації, не менш як три роки.
Для провадження господарської діяльності з надання послуг з оцінювання
захищеності інформації усіх видів, у тому числі інформації, що становить
державну таємницю, здобувач ліцензії чи ліцензіат повинен мати:
- спеціалістів з вищою освітою у галузі знань “Інформаційна безпека” або
вищою інженерно-технічною освітою фахового спрямування відповідно до
обраного виду послуг з додатковою підготовкою на курсах перепідготовки та
підвищення кваліфікації фахівців з питань технічного захисту інформації за
напрямами підготовки відповідно до обраного виду послуг чи стажем роботи у
галузі технічного захисту інформації, виконання якої передбачало захист
інформації, носіями якої є акустичні або електромагнітні поля та електричні
сигнали, не менш як три роки;
- спеціаліста (спеціалістів), що відповідає вимогам, визначеним у пункті 30 цих
Ліцензійних умов.
Для провадження господарської діяльності з надання послуг з виявлення
закладних пристроїв здобувач ліцензії чи ліцензіат повинен мати спеціалістів з
вищою освітою у галузі знань “Інформаційна безпека” або вищою інженерно-
технічною освітою фахового спрямування відповідно до обраного виду послуг
з додатковою підготовкою на курсах перепідготовки та підвищення
кваліфікації фахівців з питань технічного захисту інформації за напрямами
підготовки відповідно до обраного виду послуг чи стажем роботи у галузі
технічного захисту інформації, виконання якої передбачало захист інформації,
носіями якої є акустичні або електромагнітні поля та електричні сигнали,
та/або виявлення закладних пристроїв, не менш як три роки.
До стажу роботи у галузі технічного захисту інформації зараховується стаж
роботи та/або служби на посадах у суб’єктів системи технічного захисту
інформації, посадові обов’язки за якими передбачають виконання завдань з
технічного захисту інформації, пов’язаних з обраними видами послуг.
Організаційні вимоги
Ліцензіат у галузі технічного захисту інформації повинен зберігати:
- документи, копії яких подавалися органу ліцензування відповідно до
вимог Закону, та документи (копії), які підтверджують достовірність даних, що
зазначалися здобувачем ліцензії у документах, які подавалися органу
ліцензування відповідно до вимог Закону та цих Ліцензійних умов (протягом
дії ліцензії);
- документи, що підтверджують внесення плати за видачу ліцензії (протягом дії
ліцензії);
- примірники звітних (підсумкових) документів, розроблених під час надання
згідно з ліцензією послуг, у тому числі примірники протоколів з результатами
вимірювань, а також розрахунками, які виконувалися під час визначення
показників захищеності інформації від витоку технічними каналами (на
паперових носіях або у вигляді електронних документів протягом строку,
визначеного в договорі між ним і замовником послуг, але не менш як п’ять
років);
- договори оренди обладнання, що забезпечує надання відповідних видів
послуг у галузі технічного захисту інформації (протягом п’яти років);
- документи (копії), що засвідчують повірку власних та/або орендованих
засобів вимірювальної техніки (протягом п’яти років).
Під час проведення органом ліцензування в установленому законодавством
порядку перевірки додержання ліцензіатом у галузі технічного захисту
інформації вимог цих Ліцензійних умов повинен бути присутнім керівник
ліцензіата чи його заступник або інша уповноважена особа ліцензіата.
На письмове звернення органу ліцензування ліцензіат інформує про результати
ліцензованої діяльності у галузі технічного захисту інформації (додаток 15).
Ліцензіат у галузі технічного захисту інформації зобов’язаний повідомляти
органу ліцензування про зміну даних (у тому числі розширення, звуження), які
зазначені в його документах, що додавалися до заяви про одержання ліцензії на
провадження ліцензованої діяльності у галузі технічного захисту інформації, у
строк не пізніше ніж один місяць з дня настання таких змін.
У разі планового або позапланового припинення ліцензованої діяльності у
галузі технічного захисту інформації (у зв’язку з неможливістю використання
(відсутністю) матеріально-технічної бази (засобів вимірювальної техніки та
контролю і обладнання, допоміжних засобів, інформаційних (автоматизованих)
систем та/або технічних засобів обробки інформації), необхідної для надання
відповідних видів послуг у галузі технічного захисту інформації, виникненням
обставин непереборної сили тощо) ліцензіат для відновлення такої діяльності
зобов’язаний забезпечити виконання вимог цих Ліцензійних умов.
Провадження ліцензованої діяльності у галузі технічного захисту інформації
здійснюється на об’єктах інформаційної діяльності.
Технологічні вимоги
Здобувач ліцензії чи ліцензіат у галузі технічного захисту інформації повинен
мати:
- нормативно-правову базу (нормативно-правові акти, нормативні документи у
сфері технічного захисту інформації та внутрішні документи в електронному
вигляді або на паперових носіях (акти та документи, що мають гриф
обмеження доступу, лише на паперових носіях), що забезпечує надання
відповідного виду послуг у галузі технічного захисту інформації. Перелік
таких документів визначається Адміністрацією Держспецзв’язку;
- власні або орендовані згідно з довгостроковими договорами (на строк не
менш як один рік) засоби вимірювальної техніки та контролю і обладнання
згідно з рекомендованим переліком типів засобів вимірювальної техніки та
контролю і обладнання, необхідних для надання послуг у галузі технічного
захисту інформації, що підлягають ліцензуванню (додаток 16), допоміжні
засоби, інформаційні (автоматизовані) системи та/або технічні засоби обробки
інформації в обсязі, що забезпечує надання обраного виду послуг відповідно до
вимог загальнодержавних та/або погоджених з Адміністрацією
Держспецзв’язку методик проведення робіт з технічного захисту інформації.
До договору про оренду засобів вимірювальної техніки додаються документи
(копії), що засвідчують їх повірку;
- інформаційні (автоматизовані) системи та/або технічні засоби обробки
інформації (у разі отримання ліцензії на провадження господарської діяльності
з надання послуг у галузі технічного захисту інформації у частині оцінювання
захищеності інформації, що не становить державної таємниці, або інформації
усіх видів, у тому числі інформації, що становить державну таємницю, -
обов’язково; у разі отримання ліцензії на провадження господарської
діяльності з надання послуг у галузі технічного захисту інформації у частині
виявлення закладних пристроїв - у разі потреби);
- об’єкти інформаційної діяльності для проведення секретних нарад,
обговорень і робіт з технічного захисту інформації із створеними та
атестованими щодо відповідності вимогам нормативних документів з
технічного захисту інформації комплексами технічного захисту інформації (в
разі потреби);
- приміщення для роботи із замовниками послуг, зберігання засобів
вимірювальної техніки та контролю, допоміжних засобів та обладнання, що
забезпечує надання обраного виду послуг, обробки та зберігання документів,
розроблених під час надання послуг згідно з ліцензією;
- розроблену з урахуванням наявного апаратурного забезпечення та погоджену
з Адміністрацією Держспецзв’язку методику виявлення закладних пристроїв (у
разі отримання ліцензії на провадження господарської діяльності з надання
послуг у галузі технічного захисту інформації у частині виявлення закладних
пристроїв).
Ліцензіат під час провадження ліцензованої діяльності у галузі технічного
захисту інформації повинен дотримуватися вимог нормативно-правових актів і
нормативних документів з питань технічного захисту інформації, що
регламентують надання обраних видів послуг.
Наявність у ліцензіата ліцензії на провадження ліцензованої діяльності у галузі
технічного захисту інформації у частині надання послуг з оцінювання
захищеності інформації усіх видів, у тому числі інформації, що становить
державну таємницю, дає йому право на проведення робіт з атестації
комплексів технічного захисту інформації на об’єктах інформаційної
діяльності (об’єктах електронно-обчислювальної техніки) та експертних
оцінювань у сфері технічного захисту інформації об’єктів експертизи, які
призначаються для захисту інформації усіх видів, у тому числі інформації, що
становить державну таємницю.
Наявність у ліцензіата ліцензії на провадження господарської діяльності у
галузі технічного захисту інформації з надання послуг з оцінювання
захищеності інформації, що не становить державної таємниці, дає йому право
на проведення виключно робіт з експертних оцінювань у сфері технічного
захисту інформації об’єктів експертизи, які призначаються для захисту
інформації, що не становить державної таємниці.
Для провадження діяльності у галузі технічного захисту інформації, що
становить державну таємницю, здобувач ліцензії чи ліцензіат у галузі
технічного захисту інформації повинен мати:
- спеціальний дозвіл на провадження діяльності, пов’язаної з державною
таємницею. Зазначена в спеціальному дозволі категорія режиму секретності
повинна відповідати ступеню секретності відомостей, використання яких
передбачено за обраними видами послуг;
- спеціалістів, які залучаються (залучення яких передбачено) до надання послуг
з технічного захисту інформації, що становить державну таємницю, з
оформленими на них відповідними допусками до державної таємниці. Форма
допуску повинна відповідати ступеню секретності відомостей, до яких такі
спеціалісти допускаються (передбачено їх допуск);
- об’єкти інформаційної діяльності для проведення секретних нарад,
обговорень і надання послуг у галузі технічного захисту інформації із
створеними та атестованими щодо відповідності вимогам нормативних
документів з технічного захисту інформації комплексами технічного захисту
інформації (у разі потреби);
- інформаційні (автоматизовані) системи та/або технічні засоби обробки
секретної інформації, в яких створено комплексну систему захисту інформації
з підтвердженою відповідністю (атестований комплекс технічного захисту
інформації). При цьому категорія об’єкта електронно-обчислювальної техніки
та/або об’єкта інформаційної діяльності, де розташовані інформаційні
(автоматизовані) системи та/або технічні засоби обробки інформації, повинна
відповідати ступеню секретності (обмеження доступу) відомостей,
використання яких передбачено за обраним видом послуг у галузі технічного
захисту інформації.
Провадження ліцензованої діяльності у галузі технічного захисту інформації,
що становить державну таємницю, здійснюється в межах строку дії
спеціального дозволу на провадження діяльності, пов’язаної з державною
таємницею, та за наявності у спеціалістів, що залучаються до провадження
такої діяльності, відповідних допусків до державної таємниці.
9. Правові та організаційні засади технічного захисту важливої для
держави, суспільства і особи інформації, охорона якої забезпечується
державою.
27 вересня 1999 року Указом Президента України № 1229 було затверджено
«Положення про технічний захист інформації в Україні» (далі -
Положення), яке визначає правові та організаційні засади технічного захисту
важливої для держави, суспільства і особи інформації, охорона якої
забезпечується державою відповідно до законодавства.
Державна політика технічного захисту інформації реалізується Державною
службою спеціального зв'язку та захисту інформації України (далі -
Держспецзв'язку) у взаємодії з органами, щодо яких здійснюється ТЗІ.
Згідно п.5 Положення організація ТЗІ в організаціях покладається на їх
керівників.
Згідно п.6 Положення нормативно-правові акти з ТЗІ є обов'язковими для
виконання всіма суб'єктами системи ТЗІ.
Згідно п.8 Положення суб'єктами системи технічного захисту інформації є:
 - Держспецзв'язку;
 - органи, щодо яких здійснюється ТЗІ;
 - науково-дослідні та науково-виробничі установи Держспецзв'язку,
державні підприємства, що перебувають в управлінні Держспецзв'язку
та виконують завдання з ТЗІ;
 - організації всіх форм власності й громадяни-підприємці, які
провадять діяльність з ТЗІ за відповідними дозволами або ліцензіями;
 - навчальні заклади з підготовки, перепідготовки та підвищення
кваліфікації фахівців з ТЗІ.
Згідно п.11 Положення  основними завданнями організацій є:
 - забезпечення технічного захисту інформації згідно з вимогами
нормативно-правових актів з питань технічного захисту інформації;
 - видання у межах своїх повноважень нормативно-правових актів із
зазначених питань;
 - здійснення контролю за станом технічного захисту інформації.
Згідно п.12 Положення  організації відповідно до покладених на них завдань:
 - створюють або визначають підрозділи, на які покладається
забезпечення ТЗІ інформації та контроль за його станом, узгоджують
основні завдання та функції цих підрозділів;
 - видають за погодженням з Адміністрацією Держспецзв'язку та
впроваджують нормативно-правові акти з питань ТЗІ;
 - погоджують з Адміністрацією Держспецзв'язку проведення
організаціями тих науково-дослідних, дослідно-конструкторських і
дослідно-технологічних робіт, спрямованих на розвиток нормативно-
правової та матеріально-технічної бази системи ТЗІ, які здійснюються
за рахунок коштів державного бюджету;
 - створюють або визначають за погодженням з Адміністрацією
Держспецзв'язку організації, що забезпечують ТЗІ;
 - забезпечують підготовку, перепідготовку та підвищення кваліфікації
кадрів з ТЗІ;
 - надають Адміністрації Держспецзв'язку за його запитами відомості
про стан ТЗІ.
Згідно п.13 Положення  основними завданнями інших суб'єктів системи ТЗІ є:
 - дослідження загроз для інформації на об'єктах, функціонування яких
пов'язано з інформацією, що підлягає охороні;
 - створення та виробництво засобів забезпечення ТЗІ;
 - розроблення, впровадження, супроводження комплексів ТЗІ;
 - підвищення кваліфікації фахівців з ТЗІ.
Згідно п.15 Положення матеріально-технічна база системи ТЗІ складається з
технічних засобів загального призначення та спеціальних технічних засобів.
Технічні засоби загального призначення повинні мати документ, що засвідчує
їх відповідність вимогам нормативно-правових актів з ТЗІ, одержаний у
порядку, що встановлюється Адміністрацією Держспецзв'язку та Державним
комітетом України з питань технічного регулювання та споживчої політики.
Згідно п.16 Положення техніко-економічне обгрунтування, проектування
будівництва та реконструкції об'єктів, проведення наукових досліджень та
створення інформаційних систем, зразків озброєнь, військової та спеціальної
техніки, критичних і небезпечних технологій виконуються за завданнями, до
яких включаються вимоги з ТЗІ, якщо під час виконання передбачених
завданням робіт та у процесі функціонування зазначених об'єктів, систем,
зразків і технологій циркулюватиме інформація, охорона якої забезпечується
державою.
Під час віднесення замовником таких робіт до особливо важливих та створення
інформаційних систем державних органів завдання та результати приймання їх
етапів погоджуються з Адміністрацією Держспецзв'язку. Фінансування
створення цих систем здійснюється після такого погодження. Витрати на
заходи з ТЗІ включаються до кошторисної вартості робіт.
Згідно п.17 Положення під час розроблення та впровадження заходів з ТЗІ
використовуються засоби, дозволені Адміністрацією Держспецзв'язку для
застосування та включені до відповідних переліків.
Згідно п.18 Положення контроль у сфері ТЗІ полягає в перевірці виконання
вимог Положення, інших нормативно-правових актів з питань ТЗІ та в
оцінюванні захищеності інформації на об'єкті, де вона циркулюватиме або
циркулює.
Оцінювання захищеності інформації здійснюється шляхом атестації або
експертизи комплексів ТЗІ та інспекційних перевірок. За результатами
атестації або експертизи комплексів ТЗІ визначається можливість введення в
експлуатацію об'єкта, де циркулюватиме інформація, охорона якої
забезпечується державою.
Згідно п.20 Положення розроблення, впровадження, атестація та експлуатація
ТЗІ для власних потреб здійснюються відповідними підрозділами організацій,
на які в установленому порядку покладено забезпечення ТЗІ, за наявності у них
відповідного дозволу.
До виконання цих робіт можуть бути залучені суб'єкти підприємницької
діяльності, що мають відповідні ліцензії.
10. Головні принципи інформаційних відносин та напрямів державної
інформаційної політики в Україні
Державна інформаційна політика - це сукупність основних напрямів і способів
діяльності держави з отримання, використання, поширення та зберігання
інформації.
Головними напрямами і способами державної інформаційної політики є: „
 забезпечення доступу громадян до інформації; „
 створення національних систем і мереж інформації;
 зміцнення матеріально-технічних, фінансових, організаційних,
правових і наукових основ інформаційної діяльності; „
 забезпечення ефективного використання інформації; „
 сприяння постійному оновленню, збагаченню та зберіганню
національних інформаційних ресурсів; „
 створення загальної системи охорони інформації; „
 сприяння міжнародному співробітництву в галузі інформації і
гарантування інформаційного суверенітету України; „
 сприяння задоволенню інформаційних потреб закордонних українців.
Державну інформаційну політику розробляють і здійснюють органи державної
влади загальної компетенції, а також відповідні органи спеціальної компетенції
(ст. 6 Закону України “Про інформацію”).
Основні завдання державної інформаційної політики з огляду на законодавчо-
нормативні акти: „
 створення розвиненого інформаційного середовища; „
 модернізація інформаційної інфраструктури; „
 розвиток інформаційних і телекомунікаційних технологій; „
 ефективне формування і використання національних інформаційних
ресурсів та забезпечення вільного доступу до них; „
 розвиток незалежних ЗМІ ізабезпечення громадян суспільно вагомою
інформацією; „
 сприяння міжнародному співтовариству в інформаційній сфері та
утвердження інформаційного суверенітету України; „
 запобігання загрозі заподіяння в процесі інформаційної діяльності
шкоди життєво важливим інтересам особи, суспільства, держави.