05. Нормативно-правові акти з безпеки інформаційно-телекомунікаційних систем

З метою обміну інформацією з обмеженим доступом з використанням телекомунікаційної мережі загального користування всі країни створюють спеціальні телекомунікаційні мережі, які забезпечують технічний та криптографічний захист інформації. Так, ще у 1930 році на території України та Росії була побудована перша телекомунікаційна лінія засекреченого зв’язку, яка з’єднала столицю УРСР Харків і столицю СРСР Москву.

У подальшому на території СРСР була побудована та функціонувала загальнодержавна мережа урядового зв’язку, що забезпечувала захист секретної інформації. У 1991 році, коли Україна стала незалежною державою, вона отримала у спадок мережу та обладнання урядового зв’язку, що знаходилось на її території.

На даний час в Україні функціонує державна система урядового зв’язку (далі - ДСУЗ) - система спеціального зв’язку, що функціонує в інтересах здійснення управління державою у мирний час, в умовах надзвичайного стану, в особливий період та забезпечує захист інформації, що містить державну таємницю, під час її передавання, приймання та обробки.

Нормативно-правовим підгрунтям функціонування ДСУЗ є закон «Про Державну службу спеціального зв’язку та захисту інформації України» (далі - Держспецзв’язку). Функіонування, безпеку та розвиток ДСУЗ забезпечує Держспецзв’язку на підставі спеціальних Указів Президента України та інших нормативно-правових актів, які мають, як правило, гриф секретності. Офіційний сайт Держспецзв’язку знаходиться тут.

Разом з тим, з метою обміну конфіденційною інформацією з використанням телекомунікаційної мережі загального користування постало питання щодо створення конфіденційної телекомунікаційної мережі. Так, у 2002 році був прийнятий Закон України «Про Національну систему конфіденційного зв'язку» (далі - Закон).

У цьому Законі нижченаведені терміни вживаються в такому значенні:
- спеціальна телекомунікаційна система (мережа) - телекомунікаційна система (мережа), призначена для обміну ІзОД;
- Національна система конфіденційного зв'язку (далі - НСКЗ) - сукупність спеціальних телекомунікаційних систем (мереж) подвійного призначення, які за допомогою засобів захисту забезпечують обмін ІзОД, крім інформації, що становить державну таємницю в інтересах органів державної влади та органів місцевого самоврядування, створюють належні умови для їх взаємодії в мирний час та у разі введення надзвичайного і воєнного стану.

Згідно статті 5 Законускладовими НСКЗ є спеціальні телекомунікаційні системи (мережі), їх фіксовані і мобільні компоненти, централізовані системи захисту інформації та оперативно-технічного управління. Структура побудови НСКЗ повинна забезпечувати відокремлення ІзОД, крім інформації, що становить державну таємницю, органів державної влади та органів місцевого самоврядування, інших юридичних та фізичних осіб з використанням криптографічних та/або технічних засобів.

Згідно статті 6 Законууправління НСКЗ, її функціонування, розвиток, використання та захист інформації забезпечуються спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв'язку та захисту інформації відповідно до законодавства. Централізовані системи захисту інформації та оперативно-технічного управління перебувають у державній власності і не підлягають приватизації.

Згідно статті 7 Закону послуги конфіденційного зв'язку надаються органам державної влади та органам місцевого самоврядування, державним підприємствам, установам, організаціям, іншим юридичним та фізичним особам на платній основі. Надання послуг конфіденційного зв'язку іншим юридичним та фізичним особам здійснюється відповідно до законодавства на підставі договору між споживачем та оператором.

Послуги конфіденційного зв'язку надаються операторами, які є юридичними особами та мають ліцензії на право надання послуг телефонного зв'язку, а також надання послуг у галузі криптографічного та/або технічного захисту інформації відповідно до законодавства.

З метою реалізації вимог Закону був прийнятий «Порядок надання послуг конфіденційного зв'язку органам державної влади та органам місцевого самоврядування, державним підприємствам, установам та організаціям» (далі - Порядок), затверджений постановою Кабінету Міністрів України від 11 жовтня 2002 року № 1519 (у редакції постанови Кабінету Міністрів України від 29 квітня 2013 року № 328).

Згідно п.5 Порядку захист інформації під час надання послуг конфіденційного зв’язку забезпечується операторами шляхом вжиття відповідно до законодавства організаційних та інженерно-технічних заходів із застосуванням криптографічних і технічних засобів захисту інформації.

Згідно п.7 Порядку послуги конфіденційного зв’язку надаються відповідно до договору, примірна форма якого затверджується Адміністрацією. До укладення договору оператор за зверненням споживача зобов’язаний безоплатно надати споживачеві для ознайомлення вичерпну інформацію про зміст, якість, вартість і порядок надання послуг конфіденційного зв’язку.

Основним нормативно-правовим актом України щодо захисту інформації в комп’ютерних системах є Закон «Про захист інформації в інформаційно-телекомунікаційних системах», який регулює відносини у сфері захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі - система).

У цьому Законі наведені нижче терміни вживаються в такому значенні:
- інформаційна (автоматизована) система - організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;
- телекомунікаційна система - сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання або приймання її у вигляді  сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб;
- інформаційно-телекомунікаційна система - сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдине ціле;
- захист інформації в системі - діяльність, спрямована на запобігання несанкціонованим діям щодо інформації;
- комплексна система захисту інформації (далі – КСЗІ) - взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації.

Згідно статті 5 Закону власник системи забезпечує захист інформації в системі в порядку та на умовах, визначених у договорі, який укладається ним із власником інформації, якщо інше не передбачено законом. Власник системи на вимогу власника інформації надає відомості щодо захисту інформації в системі.

Згідно статті 8 Закону інформація, яка є власністю держави, або інформація з обмеженим доступом (далі - ІзОД), вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням КСЗІ з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи  в порядку, встановленому законодавством.

Для створення КСЗІ, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають позитивний експертний висновок за результатами державної експертизи у сфері захисту інформації.  Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.

Згідно статті 9 Закону відповідальність за забезпечення захисту інформації в системі покладається на власника системи. Власник системи, в якій обробляється інформація, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом, утворює службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним.

Про спроби та/або факти несанкціонованих дій у системі щодо інформації, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом, власник системи повідомляє відповідно спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації (Адміністрацію Держспецзв'язку) або підпорядкований йому регіональний орган.

Згідно статті 10 Закону спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації:
- розробляє пропозиції щодо державної політики у сфері захисту інформації та забезпечує її реалізацію в межах своєї компетенції;
- визначає вимоги та порядок створення КСЗІ, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
- організовує проведення державної експертизи КСЗІ, експертизи та підтвердження відповідності засобів технічного і криптографічного захисту інформації;
- здійснює контроль за забезпеченням захисту інформації, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом;
- здійснює заходи щодо виявлення загрози державним інформаційним ресурсам від несанкціонованих дій в ІТС та дає рекомендації з питань запобігання такій загрозі.

Особливості захисту інформації в системах, які забезпечують банківську діяльність, встановлюються Національним банком України.

Згідно п.1 «Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України», затвердженого Указом Президента України від 3 вересня 2014 р. № 411, Адміністрація є центральним органом виконавчої влади в галузі зв'язку та спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв'язку та захисту інформації.

З метою реалізації положень Закону 29 березня 2006 року Кабінетом Міністрів України постановою № 373 були затверджені «Правила забезпечення захисту інформації в ІТС» (далі - Правила),які визначають загальні вимоги та організаційні засади забезпечення захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, в ІТС.

У Правилах наведені нижче терміни вживаються у такому значенні:
- автентифікація - процедура встановлення належності користувачу інформації в системі (далі - користувач) пред'явленого ним ідентифікатора (пароль);
- ідентифікація - процедура розпізнавання користувача в системі за допомогою імені (ідентифікатора), що сприймається системою (логін).

Згідно п.4 Правил захисту в системі підлягає:
- відкрита інформація, яка належить до державних інформаційних ресурсів, а також відкрита інформація про діяльність суб'єктів владних повноважень, військових формувань, яка оприлюднюється в Інтернеті, інших глобальних інформаційних мережах і системах або передається телекомунікаційними мережами (далі - відкрита інформація);
- конфіденційна інформація, яка перебуває у володінні розпорядників інформації,  визначених Законом України «Про доступ до публічної інформації;
- службова інформація;
- інформація, яка становить державну або іншу передбачену законом таємницю (далі - таємна інформація);
- інформація, вимога щодо захисту якої встановлена законом...

Чтобы прочитать лекцию полностью, напишите автору

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика