06. Нормативно-правові акти щодо захисту конфіденційної інформації

Важливим кроком для захисту конфіденційної інформації з урахуванням розвитку інформатизації та утворення різноманітних баз даних було прийняття у 2010 році Закону України «Про захист персональних даних» (далі - Закон), який регулює правові відносини, пов’язані із захистом і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних.

Він поширюється на діяльність з обробки персональних даних, яка здійснюється повністю або частково із застосуванням автоматизованих засобів, а також на обробку персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.

У цьому Законі нижченаведені терміни вживаються в такому значенні:
- персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
- суб’єкт персональних даних - фізична особа, персональні дані якої обробляються;
- обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем;
- база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
- володілець персональних даних - фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.

Згідно статті 5 Закону персональні дані є об’єктами захисту.

Персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною особою. Не є конфіденційною інформацією персональні дані, що стосуються здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень.

Персональні дані, зазначені у декларації про майно, доходи, витрати і зобов’язання фінансового характеру, оформленій за формою і в порядку, встановленими Законом України «Про засади запобігання і протидії корупції», не належать до інформації з обмеженим доступом.

Не належать до інформації з обмеженим доступом дані про отримання у будь-якій формі фізичною особою бюджетних коштів, державного чи комунального майна, крім випадків, передбачених статтею 6 Закону України «Про доступ до публічної інформації».

Згідно статті 6 Закону не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Згідно статті 8 суб'єкт персональних даних має право:
1) знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
3) на доступ до своїх персональних даних;
4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
5) пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
6) пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
7) на захищеність своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
8) звертатися із скаргами на обробку своїх персональних даних до суду;
9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
11) відкликати згоду на обробку персональних даних;
12) знати механізм автоматичної обробки персональних даних;
13) на захист від автоматизованого рішення, яке має для нього правові наслідки.

Згідно статті 24 Закону розпорядники персональних даних та треті особи зобов’язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.

В органах державної влади, органах місцевого самоврядування, а також у розпорядниках персональних даних, що здійснюють обробку персональних даних, яка підлягає повідомленню відповідно до цього Закону, створюється (визначається) структурний підрозділ або відповідальна особа, що організовує роботу, пов’язану із захистом персональних даних при їх обробці.

Структурний підрозділ або відповідальна особа, що організовує роботу, пов’язану із захистом персональних даних при їх обробці:
1) інформує та консультує володільця або розпорядника персональних даних з питань додержання законодавства про захист персональних даних;
2) взаємодіє з Уповноваженим та визначеними ним посадовими особами його секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних.

Згідно статті 25 Закону дозволяється обробка персональних даних без застосування положень цього Закону, якщо така обробка здійснюється:
1) фізичною особою виключно для особистих чи побутових потреб;
2) виключно для журналістських та творчих цілей, за умови забезпечення балансу між правом на повагу до особистого життя та правом на свободу вираження поглядів.

Контроль за додержанням вимог законодавства про захист персональних даних здійснює Уповноважений Верховної Ради України з прав людини(далі - Уповноважений). Офіційний сайт Уповноваженого знаходиться тут. 

8 січня 2014 року наказом Уповноваженого № 1/02-14 були затверджені такі документи:
- Типовий порядок обробки персональних даних;
- Порядок здійснення Уповноваженим контролю за додержанням законодавства про захист персональних даних;
- Порядок повідомлення Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації.

1. Типовий порядок обробки персональних даних (далі - Порядок).

Розділ 3 «Захист персональних даних» Порядку визначає такі вимоги:
3.1. Володілець (розпорядник) персональних даних (далі - володілець) вживають заходів щодо захисту персональних даних на всіх етапах їх обробки, у тому числі за допомогою організаційних та технічних заходів.
3.2. Володілець самостійно визначає перелік і склад заходів, спрямованих на безпеку обробки персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки.
3.3. Захист персональних даних передбачає заходи, спрямовані на запобігання їх випадкових втрати або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.

3.4. Організаційні заходи охоплюють:
- визначення порядку доступу до персональних даних працівників володільця;
- визначення порядку ведення обліку операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них;
- розробку плану дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій;
- регулярне навчання співробітників, які працюють з персональними даними.

3.5. Володілець веде облік працівників, які мають доступ до персональних даних суб’єктів. Володілець визначає рівень доступу зазначених працівників до персональних даних суб’єктів. Кожен із цих працівників користується доступом лише до тих персональних даних (їх частини) суб’єктів, які необхідні йому у зв’язку з виконанням своїх професійних чи службових або трудових обов’язків.

3.6. Усі інші працівники володільця мають право на повну інформацію лише стосовно власних персональних даних.

3.7. Працівники, які мають доступ до персональних даних, дають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків.

3.13. Персональні дані залежно від способу їх зберігання (паперові, електронні носії) мають оброблятися у такий спосіб, щоб унеможливити доступ до них сторонніх осіб.

3.14. З метою забезпечення безпеки обробки персональних даних вживаються спеціальні технічні заходи захисту, у тому числі щодо виключення несанкціонованого доступу до персональних даних, що обробляються та роботі технічного та програмного комплексу, за допомогою якого здійснюється обробка персональних даних.

2. «Порядок повідомлення Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації (далі - Порядок).

Згідно п.1.2 Порядку обробка персональних даних, що становить особливий ризик для прав і свобод суб’єктів, - це будь-які дії з персональними даними про:
- расове, етнічне та національне походження;
- політичні, релігійні або світоглядні переконання;
- членство в політичних партіях та/або організаціях, професійних спілках, релігійних організаціях чи в громадських організаціях світоглядної спрямованості;
- стан здоров’я;
- статеве життя;
- біометричні дані;
- генетичні дані;
- притягнення до адміністративної чи кримінальної відповідальності;
- застосування щодо особи заходів в рамках досудового розслідування;
- вжиття щодо особи заходів, передбачених Законом України «Про оперативно-розшукову діяльність»;
- вчинення щодо особи тих чи інших видів насильства;
- місцеперебування та/або шляхи пересування особи.

Згідно п.2.1 Порядку володілець повинен повідомити Уповноваженого про обробку персональних даних, які становлять особливий ризик для прав і свобод суб’єктів персональних даних, крім випадків, якщо:
- здійснюється обробка, єдиною метою якої є ведення реєстру для надання інформації населенню, який відкритий для населення в цілому;
- обробка здійснюється громадськими об’єднаннями, політичними партіями та/або організаціями, професійними спілками, об’єднаннями роботодавців, релігійними організаціями, громадськими організаціями світоглядної спрямованості за умови, що обробка стосується виключно персональних даних членів цих об’єднань та не передається без їх згоди;
- обробка необхідна для реалізації прав та виконання обов’язків володільця персональних даних у сфері трудових правовідносин відповідно до закону.

Закон України «Про організацію формування та обігу кредитних історій» (далі - Закон) визначає правові та організаційні засади формування і ведення кредитних історій, права суб'єктів кредитних історій та користувачів бюро кредитних історій, вимоги до захисту інформації, що складає кредитну історію, порядок утворення, діяльності та ліквідації бюро кредитних історій.

Терміни, що вживаються в Законі, мають таке значення:
- кредитна історія - це сукупність інформації про юридичну або фізичну особу, що її ідентифікує, відомостей про виконання нею зобов'язань за кредитними правочинами,  іншої відкритої інформації відповідно до Закону;
- бюро кредитних історій (далі - Бюро) - юридична особа, виключною діяльністю якої є збір, зберігання, використання інформації, яка складає кредитну історію;

Згідно статті 4 Закону основними принципами формування та доступу до інформації, яка складає кредитну історію, є конфіденційність інформації та її захист.

Згідно статті 12 Закону Бюро зобов'язане забезпечити захист інформації, що складає кредитну історію, згідно із законодавством України. Бюро не мають права доручати третім особам здійснювати діяльність з ведення кредитних історій.

Бюро та Користувачі несуть відповідальність згідно із законами України за перекручення, незаконне розголошення та нецільове використання інформації, що складає кредитну історію.

Згідно статті 15Закону у разі, якщо Бюро передбачає здійснювати діяльність із збирання та використання інформації, яка складає кредитну історію, воно починає здійснення такої діяльності з моменту отримання відповідної ліцензії.

Основним нормативним документом в Україні щодо поводження з матеріальними носіями, які містять службову інформацію (далі - документи), є «Типова інструкція про порядок ведення обліку, зберігання, використання і знищення документів та інших матеріальних носіїв інформації, що містять службову інформацію» (далі - Інструкція), затверджена постановою Кабінету Міністрів України від 19 жовтня 2016 року № 736.

Інструкція складається з таких розділів:
- загальна частина;
- приймання та реєстрація документів;
- облік видань з грифом «Для службового користування»
- облік електронних носіїв інформації;
- друкування і розмноження документів;
- формування виконаних документів у справи;
- користування документами;
- перегляд документів з грифом «Для службового користування»;
- підготовка справ до передачі на архівне зберігання та знищення;
- забезпечення збереженості документів та проведення перевірки їх наявності;
- охорона службової інформації під час міжнародного співробітництва.

Загальна частина

2. В установі утворюється комісія з питань роботи із службовою інформацією, яка постійно діє, положення про яку та склад якої затверджуються відповідним актом установи.

3. Основними завданнями комісії з питань роботи із службовою інформацією є:
- складення на підставі пропозицій структурних підрозділів установи та з урахуванням вимог законодавства переліку відомостей, що становлять службову інформацію (далі - перелік відомостей), і подання його на затвердження керівникові установи;
- перегляд документів з грифом “Для службового користування” (далі - ДСК) з метою його підтвердження або скасування;
- розгляд документів з грифом “ДСК” на предмет встановлення в них відомостей, що містять відкриту інформацію, яка може бути використана під час опрацювання запитів на публічну інформацію;
- розслідування на підставі рішення керівника установи фактів втрати документів з грифом “ДСК” та розголошення службової інформації;
- розгляд питання щодо присвоєння грифа “ДСК” документам, що містять службову інформацію, яка не передбачена переліком відомостей, за поданням осіб, які підписують такий документ;
- вивчення та проведення оцінки матеріалів, з якими планується ознайомити іноземців або які будуть їм передані.

До складу комісії з питань роботи із службовою інформацією включаються працівники структурних підрозділів установи, в яких створюється службова інформація, а також працівники режимно-секретного, мобілізаційного підрозділів, підрозділів криптографічного та/або технічного захисту інформації (у разі їх створення), структурного підрозділу з діловодства або документаційного забезпечення, підрозділу з питань запитів на інформацію або працівники, відповідальні за виконання відповідних функцій в установі.

4. Перелік відомостей складається установою відповідно до вимог частини другої статті 6 та статті 9 Закону України “Про доступ до публічної інформації”, затверджується керівником установи та оприлюднюється на її офіційному веб-сайті, а за відсутності такого веб-сайту - в інший прийнятний спосіб.

6. Організація в установі роботи з документами, що містять службову інформацію, покладається на структурний підрозділ з діловодства або документаційного забезпечення, а за його відсутності - на окрему посадову особу (далі - служба діловодства).

7. Служба діловодства ознайомлює працівників структурних підрозділів, а також членів зазначених у пункті 5 цієї Інструкції органів з інструкцією установи про порядок ведення обліку, зберігання, використання і знищення документів та інших матеріальних носіїв, що містять службову інформацію (далі - інструкція установи), під розпис.

8. Документам, що містять службову інформацію, присвоюється гриф “Для службового користування”. На документах, що містять службову інформацію з:
- мобілізаційних питань, додатково проставляється відмітка “Літер “М”;
- питань криптографічного захисту службової інформації, - відмітка “Літер “К”;
- питань спеціальної інформації, - відмітка “СІ”.

9. Питання щодо необхідності присвоєння документу грифа “ДСК” вирішується виконавцем або посадовою особою, яка підписує документ, відповідно до переліку відомостей та з дотриманням вимог частини другої статті 6 та статті 9 Закону України “Про доступ до публічної інформації”.

11. Забороняється використовувати для передачі службової інформації відкриті канали зв’язку. У разі виникнення необхідності в передачі (надсиланні) документів, що містять службову інформацію, юридичним особам, громадським об’єднанням без статусу юридичної особи та фізичним особам, на яких не поширюються вимоги цієї Інструкції, останні беруть на себе письмове зобов’язання стосовно нерозголошення отриманої службової інформації.

12. Відповідальність за організацію та забезпечення дотримання в установах порядку ведення обліку, зберігання та використання документів, що містять службову інформацію, покладається на їх керівників.

14. Використання інформаційних, телекомунікаційних, інформаційно-телекомунікаційних систем чи засобів копіювально-розмножувальної техніки, що застосовуються під час обробки службової інформації, здійснюється на підставі розпорядчого документа керівника установи з дотриманням вимог законодавства у сфері захисту інформації.

15. Особливості ведення обліку, зберігання, передачі, пересилання, транспортування і знищення документів з відміткою “Літер “К”, засобів криптографічного захисту службової інформації, ключових документів, нормативної, технічної (експлуатаційної) документації визначаються нормативно-правовими актами Адміністрації Держспецзв’язку.

Приймання та реєстрація документів

18. Приймання та реєстрація документів з грифом “ДСК”, крім документів, зазначених в абзаці другому цього пункту, здійснюється централізовано службою діловодства.

21. Вхідна кореспонденція з грифом “ДСК” розкривається працівником служби діловодства, відповідальним за діловодство стосовно документів, що містять службову інформацію. При цьому перевіряється відповідність кількості аркушів, примірників, додатків до документів та їх реєстраційних індексів зазначеним на конверті (пакованні) та у супровідному листі.

22. У разі ведення окремої реєстрації документів з грифом “ДСК” з мобілізаційних питань, з питань криптографічного захисту службової інформації та з питань спеціальної інформації конверти (паковання) з відмітками “Літер “М”, “Літер “К” та “СІ”, що надійшли до служби діловодства, передаються нерозкритими структурним підрозділам чи посадовим особам, відповідальним за виконання відповідних видів робіт в установі, під розписку в журналі обліку пакетів (паковань) із зазначенням дати їх отримання та проставленням печатки “Для пакетів”.

23. За відсутності вкладень або порушення їх цілісності (невідповідності кількості аркушів, додатків до документа), пошкодження конверта (паковання), що призвело до унеможливлення прочитання тексту документа або можливого несанкціонованого ознайомлення з його змістом, а також невідповідності реєстраційного індексу документа зазначеному на конверті (пакованні), документ не реєструється. При цьому складається акт у двох примірниках, один примірник якого разом з отриманими документами надсилається відправникові, другий зберігається у службі діловодства.

24. Надіслані не за адресою документи з грифом “ДСК” повертаються відправникові без їх розгляду.

26. Облік електронних носіїв інформації, книг та інших видань, які є додатками до вхідного супровідного листа, ведеться окремо від вхідних документів. На супровідному листі, який долучається до відповідної справи, службою діловодства проставляються номер облікової форми, порядковий номер і дата взяття додатка на облік.

27. Реєстрація вхідних, вихідних та внутрішніх документів з грифом “ДСК” здійснюється окремо від документів, які не містять службову інформацію, з дотриманням вимоги щодо одноразовості реєстрації.

29. Реєстрація документів з грифом “ДСК” в електронній базі даних здійснюється з використанням спеціальних комп’ютерних програм та дотриманням вимог щодо технічного захисту інформації, встановлених законодавством.

Облік електронних носіїв інформації

35. На захисній оболонці електронного носія інформації (пластмасовій капсулі гнучкого магнітного диска, касеті або бобіні з магнітною стрічкою, на верхньому боці диска для лазерних систем зчитування, невід’ємній частині корпусу модулів флеш-пам’яті тощо) зазначаються найменування установи, обліковий номер і дата взяття на облік електронного носія, гриф “ДСК”.

36. Обліковий номер жорсткого магнітного диска зазначається на етикетці, що наклеюється на його корпусі або на опломбованому корпусі блока чи пристрою, в якому він розміщується.

37. Наклеювання на електронний носій інформації етикеток з обліковими номерами, зазначеними у пунктах 35 і 36 цієї Інструкції, здійснюється у спосіб, який виключає можливість розбирання пристрою без пошкодження етикетки, її непомітного видалення (зміни) або перенесення на інший носій інформації.

41. Ремонт блока чи пристрою з електронним носієм інформації, що має гриф “ДСК”, проводиться в установі у присутності працівника, якому такий носій в установленому порядку видано, та у разі необхідності - працівника, який відповідає за забезпечення захисту інформації в установі. У разі виникнення необхідності в передачі за межі установи такого блока чи пристрою для виконання ремонтних робіт електронний носій інформації вилучається та зберігається працівником, якому зазначений носій виданий в установленому порядку.

Друкування і розмноження документів

42. Друкування і розмноження в установі документів з грифом “ДСК” за допомогою електронно-обчислювальної та копіювально-розмножувальної техніки провадиться з урахуванням вимог законодавства у сфері захисту інформації.

Друкування і розмноження документів з мобілізаційних питань та з питань спеціальної інформації здійснюється працівниками установи, які мають допуск до роботи з такими документами.

43. У правому верхньому куті першої сторінки документа, що містить службову інформацію, проставляються гриф “ДСК” та номер примірника. Відмітки “Літер “М”, “Літер “К”, “СІ”, номер примірника зазначаються нижче грифа “ДСК”.

46. На зворотному боці останнього аркуша примірника документа, що залишається у справі установи, у нижньому лівому куті зазначаються кількість надрукованих примірників; перелік номерів примірників з найменуваннями адресатів (не більше чотирьох); номер пункту переліку відомостей установи або реквізити акта комісії з питань роботи із службовою інформацією, згідно з якими інформацію віднесено до службової; назва та обліковий номер електронного носія інформації або номер автоматизованого робочого місця, з якого друкувався документ.

48. На кожному примірнику вихідного документа та додатках до нього на лицьовому боці в нижньому лівому куті останнього аркуша зазначаються прізвище (прізвище, ім’я, по батькові) виконавця та номер його службового телефону.

49. Після реєстрації створеного документа з грифом “ДСК” його чернетки і роздруковані варіанти знищуються виконавцем шляхом подрібнення або іншим способом (спалювання, розплавлення, розчинення тощо), який виключає можливість їх прочитання та відновлення.

Надсилання документів

54. Надсилання документів з грифом “ДСК” іншим установам у межах України здійснюється рекомендованим поштовим відправленням або кур’єрською службою установи (кур’єрами), підрозділами урядового фельд’єгерського зв’язку, підрозділами органів спеціального зв’язку.

Передача службової інформації телекомунікаційними, інформаційно-телекомунікаційними мережами здійснюється лише з використанням засобів криптографічного захисту інформації, що в установленому порядку допущені до експлуатації, з дотриманням вимог технічного захисту інформації.

56. Документи з грифом “ДСК”, які надсилаються, повинні бути вкладені у конверти або упаковані у спосіб, який виключає можливість доступу та прочитання тексту чи реквізитів без порушення цілісності паковання.

59. У разі надсилання документів з мобілізаційних питань на конвертах (пакованнях) додатково проставляється відмітка “Літер “М”.

60. Надсилання документів з мобілізаційних питань в одному конверті (пакованні) з документами, що не стосуються мобілізаційних питань, не дозволяється.

Формування виконаних документів у справи

63. Виконані документи з грифом “ДСК” групуються у справи згідно із затвердженою в установі зведеною номенклатурою справ. Дозволяється долучати до справи із грифом “ДСК” документи з відкритою інформацією, якщо такі документи стосуються питань такої справи.

Документи з мобілізаційних питань долучаються до справ з мобілізаційної роботи, що мають відмітку “Літер “М”, а документи з питань спеціальної інформації - до справ з відміткою “СІ”.

71. Документи з мобілізаційних питань та з питань спеціальної інформації зберігаються в окремих робочих папках, футлярах або пакетах, на яких зазначаються прізвища та ініціали працівників, які мають право їх розкривати. Робочі папки, футляри або пакети з документами з мобілізаційних питань або з питань спеціальної інформації опечатуються особистою номерною металевою печаткою працівника, який безпосередньо з ними працює.

72.  Документи з відміткою “Літер “К” зберігаються окремо від інших документів та долучаються до справ, що формуються службою криптографічного захисту інформації установи або працівником, відповідальним за виконання такого виду робіт.

Користування документами

74. Вхідні, вихідні, внутрішні документи з грифом “ДСК” передаються працівникам відповідно до резолюцій керівника установи або його заступників, керівників підрозділів установи.

76. Робота з документами з мобілізаційних питань та з питань спеціальної інформації проводиться в окремо виділених і належним чином обладнаних службових приміщеннях з дотриманням вимог, які унеможливлюють ознайомлення із змістом таких документів сторонніх осіб.

82. Після ознайомлення з документами з грифом “ДСК” на зворотному боці запиту або припису на право проведення перевірки робиться запис про документи (реєстраційні дані, заголовки), з якими ознайомлено працівника іншої установи.

83. У разі потреби працівник іншої установи робить витяги з виданих йому документів з грифом “ДСК” у робочому зошиті, що має зазначений гриф, який після завершення роботи з документами надсилається установі, що робила запит на ознайомлення.

84. Працівник іншої установи може ознайомитися із змістом документа з грифом “ДСК”, отриманим від іншої установи, лише за письмовою згодою установи - розробника такого документа. Зазначена вимога не поширюється на представників органів державного нагляду (контролю) під час виконання ними відповідних функцій згідно із законодавством.

85. Забороняється використовувати службову інформацію, що міститься в документах з грифом “ДСК”, для відкритих виступів або опублікування у засобах масової інформації та демонструвати такі документи на стендах, у вітринах на відкритих виставках або в інших громадських місцях.

Перегляд документів з грифом “ДСК”

86. Перегляд документів з грифом “ДСК” проводиться з метою підтвердження наявності або відсутності в них відомостей, що становлять службову інформацію, не рідше ніж один раз на 5 років. Скасування грифа “ДСК” здійснюється за відсутності законних підстав для обмеження у доступі до службової інформації, які існували раніше.

87. Рішення про скасування грифа “ДСК” чи його підтвердження приймається комісією з питань роботи із службовою інформацією установи - розробника документа або відповідною комісією установи-правонаступника чи установи вищого рівня, якщо установа - розробник документа припинила свою діяльність.

90. Про скасування грифа “Для службового користування” письмово повідомляються всі установи, яким надсилався такий документ. За потреби можуть надсилатися витяги з протоколу засідання комісії з питань роботи із службовою інформацією.

91. На обкладинках справ та документах гриф “ДСК” погашається працівником служби діловодства (архівного підрозділу) установи шляхом його закреслення тонкою рискою та зазначення нижче на вільному від тексту місці дати і номера відповідного протоколу засідання комісії з питань роботи із службовою інформацією. Такі відмітки вносяться до реєстраційних та облікових форм, номенклатури та опису справ.

Забезпечення збереженості документів та проведення перевірки їх наявності

101. Документи і справи з грифом “ДСК” зберігаються у шафах, сейфах, що розташовані у службових приміщеннях або сховищах архіву. Шафи, сейфи, службові приміщення, сховища архіву повинні надійно замикатися і опечатуватися металевими печатками.

102. Документи з грифом “ДСК” можуть перебувати у працівників на виконанні протягом строку, необхідного для виконання завдання, за умови дотримання вимог їх зберігання, визначених пунктом 101 цієї Інструкції.

105. Документи з грифом “ДСК” не дозволяється виносити за межі установи, крім випадків передачі документів на виконання у структурні підрозділи, що розташовуються поза межами основного приміщення установи, та у разі виникнення необхідності в їх узгодженні, підписанні в установах, розташованих у межах одного населеного пункту.

Винесення документа з грифом “ДСК” за межі установи здійснюється на підставі резолюції керівника установи (його заступника) або керівника структурного підрозділу, в якому такий документ (його проект) підготовлено. При цьому документ повинен бути вкладений у конверт або упакований у такий спосіб, щоб виключити можливість його прочитання.

106. Особі, відрядженій до іншого населеного пункту, забороняється мати при собі документи з грифом “ДСК”. У разі потреби такі документи надсилаються за призначенням до початку відрядження.

107. В окремих випадках, зокрема у разі термінового позапланового відрядження, керівник установи (його заступник) ставить на доповідній записці керівника відповідного структурного підрозділу резолюцію, згідно з якою дає дозвіл на перевезення документів з грифом “ДСК” до іншого населеного пункту за умови, що такі документи перевозяться групою у складі не менше двох працівників, які повинні виконувати роботу з ними з дотриманням заходів, що унеможливлюють несанкціоноване ознайомлення з текстом таких документів.

108. Стан організації роботи з документами, що містять службову інформацію (наявність та фізичний стан документів, справ, видань, електронних носіїв інформації з грифом “ДСК”), не рідше ніж один раз на рік перевіряється комісією з питань проведення перевірки наявності документів з грифом “ДСК” після завершення діловодного року та формування справ.

До складу комісій з питань проведення перевірки наявності документів з грифом “Для службового користування” з відмітками “Літер “М”, “Літер “К” та “СІ” залучаються лише особи, допущені до роботи з такими документами.

110. Працівник, якому стало відомо про факт втрати документа, що містить службову інформацію, та про можливе розголошення відомостей, що становлять службову інформацію, невідкладно інформує керівника свого структурного підрозділу, який у письмовій формі терміново інформує про такий факт керівника установи та керівника служби діловодства.

У разі втрати документа, що містить службову інформацію, письмово повідомляється установі, від якої цей документ отримано. Про втрату документа, що містить службову інформацію, зібрану під час провадження оперативно-розшукової, контррозвідувальної діяльності, діяльності у сфері оборони держави, або можливе розголошення такої службової інформації повідомляється також органові СБУ із зазначенням обставин втрати документа (розголошення відомостей) та про вжиті заходи.

У разі втрати, відсутності відомостей про місцезнаходження або виникнення підозри про можливий доступ сторонніх осіб до інформації або документа, яким надана відмітка “Літер “К”, засобів криптографічного захисту службової інформації, технічної (експлуатаційної) документації, ключових даних невідкладно письмово інформується Адміністрація Держспецзв’язку.

111. Факти втрати документів або розголошення відомостей, які містять службову інформацію, розслідує комісія з питань роботи із службовою інформацією.

114. За результатами розслідування, яке триває не довше ніж один місяць, складається акт, що підписується членами комісії з питань роботи із службовою інформацією або спеціальної комісії та подається керівникові установи на затвердження. За наявності обґрунтованих пропозицій відповідної комісії, прийнятих на її засіданні, строк проведення розслідування може бути продовжено за резолюцією керівника установи не більш як на один місяць.

Розслідування починається з дати підписання розпорядчого документа про його проведення та завершується датою затвердження акта про результати проведення розслідування.

115. В окремому розділі акта про результати проведення розслідування зазначаються обставини, причини та умови настання відповідного випадку, рівень заподіяної шкоди або негативного впливу на діяльність установ, а також наводиться перелік втрачених документів.

Охорона службової інформації під час міжнародного співробітництва

118. Рішення про можливість прийому установою іноземних делегацій, груп та окремих іноземних громадян та осіб без громадянства (далі - іноземці) приймається керівником установи або його заступником, відповідальним за організацію прийому та роботу з іноземцями.

119. Організацію прийому іноземців і проведення роботи з ними забезпечує структурний підрозділ з питань зовнішніх відносин, а в установах, де такий підрозділ відсутній, - посадова особа, визначена керівником установи у розпорядчому документі (далі - підрозділ зовнішніх відносин).

120. Підрозділом зовнішніх відносин разом з іншими структурними підрозділами установи, що беруть участь у прийомі іноземців, за участю структурного підрозділу технічного захисту інформації (особи, відповідальної за виконання такої роботи) розробляється програма прийому іноземців, яка повинна містити:
- відомості про іноземців, найменування їх посад, а також інформацію про підприємство, установу, організацію, яку вони представляють, період перебування в установі;
- мету прийому іноземців, перелік питань, які плануються для обговорення. Інформація про діяльність установи, яка може бути доведена до іноземців або їм передана, зазначається у додатку до програми;
- список посадових осіб установи, відповідальних за прийом іноземців і виконання інших завдань, пов’язаних з перебуванням іноземців в установі (із зазначенням змісту таких завдань);
- перелік структурних підрозділів установи (із зазначенням приміщень, цехів, дільниць, лабораторій), які відвідуватимуться іноземцями;
- перелік місць та порядок застосування іноземцями кіно-, фото-, аудіо- і відеоапаратури, інших технічних засобів;
- маршрути і порядок пересування іноземців територією установи;
- інші необхідні заходи.

121. У разі коли під час прийому іноземців передбачається передача іноземцям в установленому законодавством порядку службової інформації, яка була зібрана під час провадження оперативно-розшукової, контррозвідувальної діяльності, діяльності у сфері оборони держави, керівник установи або за його дорученням керівник підрозділу зовнішніх відносин своєчасно інформує у письмовій формі орган СБУ про склад іноземної делегації (групи) із зазначенням прізвищ, імен і посад її членів, період перебування та мету відвідання установи. Разом із зазначеною інформацією надсилається копія програми прийому іноземців.

124. Носії інформації з грифом “ДСК” можуть бути надані для ознайомлення іноземцям після вилучення з них відомостей, що становлять службову інформацію.

127. В установах, що систематично здійснюють прийом іноземців, виділяються і обладнуються окремі приміщення для роботи з іноземцями.

Підготовка інших приміщень установи для прийому іноземців передбачає припинення в них робіт, пов’язаних з обробкою службової інформації, вилучення документів з грифом “ДСК”, приховування або маскування виробів (стендів), наочної документації, що містять службову інформацію.

Приміщення, в яких проводиться робота з іноземцями, до початку їх відвідування іноземцями та після його завершення перевіряються працівниками структурного підрозділу технічного захисту інформації. Про результати такої перевірки складається довідка у довільній формі.

128. Повноваження осіб установи, відповідальних за прийом іноземців і проведення роботи з ними, визначаються програмою роботи з іноземцями, а також письмовими розпорядженнями керівника установи та керівника підрозділу зовнішніх відносин.

129. Забороняється під час прийому і проведення роботи з іноземцями залишати їх у службових приміщеннях та на території установи без супроводу. У виняткових випадках за рішенням керівника установи супровід іноземців може не здійснюватися за умови використання на маршрутах їх слідування технічних засобів охорони та спостереження.

130. Підрозділ зовнішніх відносин за результатами прийому іноземців складає у довільній формі звіт про виконання програми роботи з іноземцями, в якому зазначаються:
- відомості про іноземців, зміст проведених з ними бесід;
- інформація, яка використовувалася чи була передана іноземцям, перелік відповідних матеріальних носіїв інформації (документів, науково-технічної документації, зразків виробів тощо);
- інформація, отримана від іноземців;
- пропозиції та рекомендації за результатами візиту іноземців.

131. Звіт про виконання програми роботи з іноземцями затверджується керівником установи. У разі передачі іноземцям документів або матеріальних носіїв, що містять службову інформацію, зібрану під час провадження оперативно-розшукової, контррозвідувальної діяльності, діяльності у сфері оборони держави, копія затвердженого звіту протягом п’яти робочих днів надсилається органові СБУ, а також за рішенням керівника установи іншим заінтересованим установам.

17 липня 2009 року постановою Кабінету Міністрів України № 733 був затверджений «Порядок надсилання електронною поштою службових документів» (далі - Порядок), який визначає механізм надсилання та одержання електронною поштою електронних копій службових документів, підготовлених у паперовому вигляді (далі - службові документи), для їх використання у роботі міністерств, інших центральних органів виконавчої влади та обласних держадміністрацій (далі - органи виконавчої влади):

3. Для здійснення електронного обміну службовими документами створюються електронні поштові скриньки:
- в органах виконавчої влади - kabmin_doc@;
- у кожному структурному підрозділі Секретаріату Кабінету Міністрів України - ind@kmu.gov.ua (де ind - індекс структурного підрозділу).

Згідно п.4 Порядку в органах виконавчої влади визначаються особи, що відповідають за здійснення електронного обміну службовими документами (далі - відповідальні особи), -по два працівники у службах, що забезпечують діяльність керівників органів виконавчої влади, і у структурних підрозділах з питань інформаційних технологій апаратів органів виконавчої влади.

6. Відповідальні особи, які працюють у структурних підрозділах з питань інформаційних технологій апаратів органів виконавчої влади, забезпечують встановлення на відповідних  комп'ютерах програми електронної пошти, антивірусних програмних засобів та пристроїв для сканування документів, підготовлених у паперовому вигляді, а також функціонування електронної пошти, поновлення її адреси.

10. Електронною поштою надсилаються службові документи, що скановані та збережені у форматі PDF. У разі необхідності допускається використання інших форматів, узгоджених відповідальними особами із структурними підрозділами з питань інформаційних технологій апаратів органів виконавчої влади.

Тексти службових документів, підготовлених у паперовому вигляді, скануються разом з підписом (або візою) посадової особи та/або штрих-кодом, який містить інформацію про відповідальний підрозділ, виконавця, реєстрацію документа тощо. На службових документах, підготовлених у паперовому вигляді, у разі здійснення електронного обміну ними, обов'язково  робиться позначка про час надсилання та адресатів.  

12. Під час здійснення електронного обміну службовими документами необхідно дотримуватися вимог щодо обов'язкового:
- підтвердження факту одержання кожного службового документа;
- проведення перевірки антивірусним програмним засобом кожного службового документа, що надійшов;
- здійснення обліку службових документів в окремому журналі із зазначенням адреси електронної пошти.

13. Електронний обмін службовими документами здійснюється з використанням спеціальної інформаційно-телекомунікаційної системи органів виконавчої влади.

15. Органи виконавчої влади під час здійснення електронного обміну службовими документами дотримуються вимог нормативно-правових актів, що регулюють відносини у сфері захисту інформації.

Крім того, важливим кроками у сфері інформаційної безпеки стала ратифікація Україною двох європейських Конвенцій та імплементація їх положень до свого законодавства:
- у 2005 році - «Про кіберзлочинність», яка була підписана державами-членами Ради Європи у 2001 році;
- у 2010 році - «Про захист осіб у зв'язку з автоматизованою обробкою персональних даних», яка була підписана цими державами ще у 1981 році.

1. Конвенція Ради Європи № 108 «Про захист осіб у зв'язку з автоматизованою обробкою персональних даних» та «Додатковий протокол до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних щодо органів нагляду та транскордонних потоків даних» (ETS № 181) зобов’язує держав, які підписали ці документи, керуватися їх положеннями при розгляді питань, пов’язаних із захистом персональних даних, що підлягають чи не підлягають автоматизованій обробці, як у суспільному, так і приватному секторах.

Без цього документа інші країни відмовлялися передавати в Україну бази даних. Так, якщо європейська компанія замовляє українській розробку програмного забезпечення для обробки інформації, то вона хоче, щоб розробник ніс законну відповідальність, яка повинна бути прописана в українському законодавстві. 

Згідно статті 7 Конвенції «Безпека даних» для захисту персональних даних, що зберігаються у файлах даних для автоматизованої обробки, уживають відповідних заходів безпеки, спрямованих на запобігання випадковому чи несанкціонованому знищенню або випадковій утраті, а також на запобігання несанкціонованим доступу, зміні або поширенню.

2. Конвенція Ради Європи № 185 «Про кіберзлочинність» передбачає надання повноважень, достатніх для ефективної боротьби зі злочинами у сфері інформаційно-телекомунікаційних технологій як на внутрішньодержавному, так і міжнародному рівнях, укладення домовленостей щодо дієвого міжнародного співробітництва.

Згідно Конвенції до злочинів проти конфіденційності, цілісності та доступності комп'ютерних даних і систем відносяться:
- незаконний доступ, нелегальне перехоплення, втручання в дані, втручання в систему, зловживання пристроями;
- до злочинів, пов’язаних з комп’ютерами - підробка та шахрайство;
- до злочинів пов’язаних зі змістом - вироблення дитячої порнографії, пропонування або надання доступу до дитячої порнографії, розповсюдження, передача, здобуття дитячої порнографії за допомогою комп'ютерних і володіння дитячою порнографією в комп'ютерній системі чи на комп'ютерному носії інформації;
- до злочинів щодо порушення авторських і суміжних прав - правопорушення, за які передбачено кримінальну відповідальність.

Ратифікація Конвенції є дуже суттєвим кроком України на шляху протидії злочинам у сфері використання комп’ютерних технологій. Використовуючи закладені у ній норми, вітчизняні правоохоронці зможуть отримувати необхідні їм комп’ютерні дані, що знаходяться на закордонних серверах, якщо такі дані стосуються порушених в Україні кримінальних справ. 

До речі, положення Конвенції знайшли своє відображення в Законі України «Про внесення змін до Кримінального та Кримінально-процесуального кодексів України» від 23.12.2004 року, відповідно до якого в розділі 16 «Злочини у сфері використання електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж і мереж електрозв'язку» викладені у новій редакції такі статті Кримінального кодексу України:
- 361 - Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку;
- 362 - Несанкціоновані дії з інформацією, яка обробляється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або зберігається на носіях такої інформації, вчиненні особою, яка має право доступу до неї;
- 363 - Порушення правил експлуатації електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них оброблюється.

Передбачена також кримінальна відповідальність за такими статтями Кримінального кодексу України:
- 361-1 - Створення з метою використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут;
- 361-2 - Несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або на носіях такої інформації;
- 363-1 - Перешкоджання роботі електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку шляхом масового розповсюдження повідомлень електрозв'язку.

Основним нормативно-прававим актом для організації боротьби з кіберзлочинністю та іншими правопорушеннями є Закон України «Про оперативно-розшукову діяльність» (далі - Закон). Згідно статті 2 Закону оперативно-розшукова діяльність (ОРД) - це система гласних і негласних пошукових, розвідувальних та контррозвідувальних заходів, що здійснюються із застосуванням оперативних та оперативно-технічних засобів.

Згідно статты 5 Закону ОРД здійснюється такими оперативними підрозділами:
- Служби безпеки України;
- Служби зовнішньої розвідки;
- Державної прикордонної служби;
- Державної фіскальної служби;
- Державної пенітенціарної служби;
- Міністерства внутрішніх справ;
- управління державної охорони;
- розвідувального органу Міністерства оборони.

Згідно статті 8 Закону оперативні підрозділи для виконання завдань ОРД за наявності передбачених статтею 6 цього Закону підстав мають право:
9) здійснювати аудіо-, відеоконтроль особи, знімати інформацію з транспортних телекомунікаційних і електронних інформаційних мереж згідно з положеннями статей 260, 263-265 Кримінального процесуального кодексу України (далі - КПКУ);
10) накладати арешт на кореспонденцію, здійснювати її огляд та виїмку згідно з положеннями статей 261, 262 КПКУ;
11) спостерігати за особою, річчю або місцем та вести аудіо-, відеоконтроль місця згідно з положеннями статей 269, 270 КПКУ;
12) встановлювати місцезнаходження радіоелектронного засобу згідно з положеннями& статті 268 КПКУ;
19) застосовувати засоби фізичного впливу, спеціальні засоби та вогнепальну зброю на підставах і в порядку, встановлених законами про міліцію, Службу безпеки України, Державну прикордонну службу України, державну охорону органів державної влади України та посадових осіб, Митним кодексом України.

Згідно статті 9 Закону під час здійснення ОРД не допускається порушення  прав і свобод людини та юридичних осіб. Окремі обмеження цих прав і свобод мають винятковий і тимчасовий характер і можуть застосовуватись лише за рішенням слідчого судді з метою виявлення, попередження чи припинення тяжкого або особливо тяжкого злочину та у випадках, передбачених законодавством України, з метою захисту прав і свобод  інших  осіб, безпеки суспільства.

У випадках порушення прав і свобод людини або юридичних осіб в процесі  здійснення ОРД, а також у разі, якщо причетність до правопорушення особи, щодо якої здійснювалась ОРД, не підтвердилась, Служба безпеки України… зобов'язані невідкладно поновити порушені права і відшкодувати заподіяні матеріальні та моральні збитки в повному обсязі.

Громадяни України та інші особи мають право у встановленому законом порядку одержати від органів, на які покладено здійснення ОРД, письмове пояснення з приводу обмеження їх прав і свобод та оскаржити ці дії.

Одержані внаслідок ОРД відомості, що стосуються особистого життя, честі, гідності людини, якщо вони не містять інформації про вчинення заборонених законом дій,  зберіганню не підлягають і повинні бути знищені. Відомості, одержані внаслідок ОРД, щодо підготовки до терористичних актів чи їх вчинення окремими особами та групами, зберігаються до 5 років.

Спостереження за особою, річчю або місцем, а також аудіо-, відеоконтроль місця  може проводитися з метою встановлення даних про особу та про її зв'язки у разі, коли є факти, які підтверджують, що нею готується тяжкий або особливо тяжкий злочин, для отримання відомостей, які вказують на ознаки такого злочину, для забезпечення безпеки працівників суду і правоохоронних органів та осіб, які беруть участь у кримінальному судочинстві, членів їх сімей та близьких родичів цих осіб, а також з метою отримання розвідувальної інформації в інтересах безпеки суспільства та держави.

Для одержання інформації в процесі здійснення ОРД забороняється застосовувати технічні засоби, психотропні та інші речовини, які  пригнічують волю або завдають шкоди здоров'ю людей та навколишньому середовищу.

Згідно статті 11 Закону органи  державної  влади, підприємства, установи, організації незалежно від форми власності зобов'язані сприяти оперативним підрозділам у вирішенні завдань ОРД.

За бажанням осіб їх співробітництво з оперативним підрозділом може бути оформлено письмовою угодою з гарантуванням конфіденційності співробітництва. Угоду про сприяння оперативним підрозділам в ОРД може бути укладено з дієздатною особою.

Особи, які залучаються до виконання завдань ОРД, зобов'язані зберігати таємницю, що стала їм відома. Розголошення цієї таємниці тягне за собою відповідальність за чинним законодавством, крім випадків розголошення інформації про незаконні дії, що порушують  права людини.

Забороняється залучати до виконання завдань ОРД осіб, професійна діяльність яких пов'язана зі збереженням професійної таємниці, а саме: адвокатів, нотаріусів, медичних працівників, священнослужителів, журналістів, якщо таке співробітництво буде пов'язано з розкриттям конфіденційної інформації професійного характеру.

Окремим підзаконним нормативно-прававим актом щодо спеціальних технічних засобів негласного отримання інформації (далі - СТЗ) є «Положення про порядок розроблення, виготовлення, реалізації та придбання спеціальних технічних засобів для зняття інформації з каналів зв'язку, інших засобів негласного отримання інформації» (далі - Положення), затверджене постановою Кабінету Міністрів України від 27 жовтня 2001 року № 1450.

Згідно п.2 Положення замовниками розроблення, виготовлення та придбання СТЗ можуть бути центральні органи виконавчої влади, розвідувальні (далі - державні замовники), міжнародні правоохоронні організації, спеціальні служби та правоохоронні органи іноземних держав (далі - іноземні замовники).

Згідно п.3 Положення державними замовниками розроблення, виготовлення та придбання СТЗ можуть бути: СБУ, розвідувальні органи, МВС, Державна податкова адміністрація, Держкомкордон, Управління державної охорони, Державний департамент з питань виконання покарань, а  також Міноборони в межах, визначених законодавством.

Згідно п.4 Положення виконавцями, а у разі потреби співвиконавцями замовлення з розроблення та виготовлення СТЗ можуть бути наукові організації та підприємства, що мають відповідні ліцензії, а також суб'єкти господарювання іноземних держав та безпосередньо державні замовники.

Згідно п.7 Положення розроблення, виготовлення та реалізація СТЗ здійснюється виключно для задоволення потреб державних та іноземних замовників.

Згідно п.8 Положення іноземні замовники отримують вироблені в Україні СТЗ відповідно до зовнішньоекономічних контрактів з урахуванням вимог законодавства про охорону державної таємниці за наявності дозволу Державної служби експортного контролю, виданого в установленому порядку.

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика